CVE-2017-14798

local privilege escalation in SUSE postgresql init script

CVSS 7.3 HIGHEPSS 1.0%CWE-61

Em resumo

Um erro de timing no script de inicialização do PostgreSQL permite que alguém com acesso à conta PostgreSQL ganhe permissões de administrador (root). Um atacante poderia explorar essa condição de corrida durante a inicialização do sistema para elevar seus privilégios.

Detalhe técnico

Uma condição de corrida existe no script init do PostgreSQL no SUSE (CWE-61) que pode ser explorada por um atacante com acesso à conta postgresql para escalar privilégios para root. A vulnerabilidade ocorre durante a fase de inicialização quando permissões ou propriedade de arquivos são definidas, permitindo que um usuário malicioso manipule o fluxo do processo e ganhe privilégios elevados antes que controles de acesso apropriados sejam aplicados.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A race condition in the postgresql init script could be used by attackers able to access the postgresql account to escalate their privileges to root.

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Produtos afetados

suse · postgresql-init

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://lists.suse.com/pipermail/sle-security-updates/2017-November/003420.html https://bugzilla.suse.com/show_bug.cgi?id=1062722 https://www.exploit-db.com/exploits/45184/https://www.suse.com/de-de/security/cve/CVE-2017-14798/