Vulnérabilité dans NFS Utilities (partage de fichiers)
Date de publication :
Une vulnérabilité critique a été découverte dans le paquet NFS Utilities (nfs-utils) utilisé dans plusieurs distributions Linux pour le partage de fichiers. Elle peut permettre à un attaquant d’écrire, modifier ou supprimer des fichiers sur un système avec des privilèges élevés.
CVE-2019-3689 [Score CVSS v3 : 9.8] : Dans le paquet NFS Utilities, le dossier /var/lib/nfs appartient à statd:nogroup. Ce dossier contient des fichiers appartenant et gérés par l’utilisateur racine (root). Si l’utilisateur statd est compromis par un attaquant, celui-ci pourra utiliser des processus s’exécutant avec des privilèges d’utilisateur racine afin de créer, modifier ou supprimer des fichiers à n’importe quel endroit du système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Atteinte à la confidentialité, l’intégrité et la disponibilité des données
Criticité
Score CVSS v3 : 9.8
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible actuellement
Composants vulnérables
NFS Utilities version 1.3.0-34.18.1 et précédentes
NFS Utilities version 2.1.1-6.10.2 et précédentes
CVE
CVE-2019-3689
Solutions ou recommandations
Mise en place de correctifs de sécurité
Des correctifs sont proposés pour les distributions Ubuntu, Debian et OpenSuse. Il est conseillé de les appliquer dès que possible
Solution de contournement
Aucune solution de contournement n’est disponible