关键信息 漏洞描述 漏洞编号: CVE-2024-52336 公开日期: 2024年11月26日 最近更新日期: 2024年11月26日 影响范围: Tuned package 漏洞类型: Script injection vulnerability 影响程度: Important Impact (重要影响) CVSS v3 Score: 7.8 漏洞详情 漏洞描述: Tuned package中的instance_create() D-Bus函数允许本地登录用户在未认证的情况下调用。这允许本地非特权用户执行D-Bus调用,使用script_pre或script_post选项,这些选项允许将绝对路径的脚本传递给Tuned。这些用户或攻击者控制的可执行脚本或程序可以被Tuned以root权限执行,从而允许攻击者进行本地权限提升。 影响的包和Red Hat安全补丁 受影响的包: - Fast Datapath for RHEL 7 - Fast Datapath for RHEL 8 - Fast Datapath for RHEL 9 - Red Hat Enterprise Linux 6 - Red Hat Enterprise Linux 7 - Red Hat Enterprise Linux 8 - Red Hat Enterprise Linux 9 受影响的补丁: - Not affected (未受影响) - Affected (受影响) CVSS v3 Score Details CVSS v3 Base Score: 7.8 Attack Vector: Local Attack Complexity: Low Privileges Required: Low User Interaction: None Scope: Unchanged Confidentiality Impact: High Integrity Impact: High Availability Impact: High 承认 感谢:感谢Matthias Gerstner(SUSE Security Team)报告此问题。 常见问题 为什么Red Hat的CVSS v3分数或影响与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布此漏洞的修复? 如果我的产品被列为“不会修复”,我该怎么办? 如果我的产品被列为“修复推迟”,我该怎么办? 什么是缓解措施? 我有Red Hat产品,但它不在上述列表中,它是否受影响? 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 其他信息 安全描述版权: © 2021 页面生成: 自动生成,未检查错误或遗漏。 联系: Red Hat Product Security 最近更新日期: 2024年11月26日