这个网页截图提供了关于Quagga中本地权限提升漏洞的关键信息,以下是从截图中提取的几点关键信息: 漏洞ID和CVE: - Bugzilla ID:1191890 - CVE ID:CVE-2021-44038 - 相关标识符:VUL-1 漏洞影响和描述: - 状态:已解决 (RESOLVED FIXED) - 产品:SUSE Security Incidents - 组件:事件 - 优先级和严重性:P4 - 低严重性 (Low Severity),正常(Normal) - 描述: - Quagga存在从运行时用户到root的多个本地权限提升 (LPE) 矢量。 - 开放的SUSE受到影响,但是包已损坏,当前仅构成小威胁。 - SLES不受影响。 漏洞细节: - 向量1:服务文件运行 在用户拥有的目录中,导致文件权限问题。 - 向量2:在spec文件中, 条件未正确设置,导致未应用 。 状态和时间线: - 报告时间:2021-10-21 08:06 UTC,由Johannes Segitz报告 - 最后修改时间:2023-10-31 12:18 UTC - 解决时间:预计在2022-01-19或之前 处理状态: - 漏洞初始被标记为保密,仅限相关维护者和团队讨论。 - 开发者和维护者已讨论并尝试联系上游Project Quagga,但是项目似乎处于停滞状态。 - 补丁已提交到openSUSE,并在安全团队审核下通过。 备注和后续行动: - CVE已被申请并公开引用。 - 在openSUSE的Leap、Tumbleweed和SLE中,建议用户迁移至FRRouting项目作为替代。 - 安全团队在沟通中提示注意保密和提交流程。