IBM Security Verify Access oraz jego wariant Docker zawierają podatność umożliwiającą lokalnie uwierzytelnionemu użytkownikowi podniesienie uprawnień do poziomu root. Wynika ona z uruchamiania procesów z większymi uprawnieniami niż jest to wymagane (CWE-250).
▸ Pokaż oryginał (EN)
IBM Security Verify Access and IBM Security Verify Access Docker 10.0.0.0 through 10.0.9.0 and 11.0.0.0 through 11.0.1.0 could allow a locally authenticated user to escalate their privileges to root due to execution with more privileges than required.
Podatność polega na tym, że określone komponenty systemu są wykonywane z nadmiarowymi uprawnieniami systemowymi. Lokalnie zalogowany użytkownik może wykorzystać ten mechanizm, aby uzyskać pełen dostęp root do systemu lub kontenera. Błąd dotyczy zarówno wdrożeń tradycyjnych, jak i środowisk kontenerowych opartych na Docker.
Atakujący z lokalnym dostępem może uzyskać pełne uprawnienia administracyjne (root), co pozwala na przejęcie kontroli nad systemem, odczyt i modyfikację poufnych danych oraz destabilizację środowiska.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7247215. Jako dodatkowe środki zaradcze należy ograniczyć dostęp lokalny do systemu wyłącznie do zaufanych użytkowników oraz stosować zasadę minimalnych uprawnień w środowiskach kontenerowych.
IBM Security Verify Access oraz IBM Security Verify Access Docker w wersjach 10.0.0.0 – 10.0.9.0 oraz 11.0.0.0 – 11.0.1.0 (dotyczy również wariantów IBM Verify Identity Access i IBM Verify Identity Access Docker w tych samych zakresach wersji).
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HIBM Security Verify Access
APPIbm10.0.9.010.0.0.0 – 10.0.9.0 (bez)IBM Security Verify Access Docker
APPIbm10.0.9.010.0.0.0 – 10.0.9.0 (bez)IBM Verify Identity Access
APPIbm11.0.1.011.0.0.0 – 11.0.1.0 (bez)IBM Verify Identity Access Docker
APPIbm11.0.1.011.0.0.0 – 11.0.1.0 (bez)
Powiązane podatności
Privilege escalation do root w IBM Security Verify Access i Verify Identity Access
IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)
IBM Security Verify Access — zakodowane na stałe poświadczenia (hard-coded credentials)
IBM Security Verify Access — zdalne wykonanie poleceń (command injection)
IBM Security Verify Access 10.0.0.0, 10.0.1.0 and 10.0.2.0 with the advanced access control authentication ser...