Vulnérabilité dans NetworkManager-ssh
Date de publication :
Une vulnérabilité de type élévation de privilèges a été découverte dans NetworkManager-ssh, un programme utilisé par certains environnements de bureau Linux pour mettre en place un tunnel VPN SSH à l’aide d’une interface graphique. Un attaquant local exploitant cette faille peut obtenir un niveau de privilèges supérieur.
CVE-2020-9355 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans NetworkManager-ssh, celle-ci étant due à la manière dont le programme gère les options SSH supplémentaires définies par l’utilisateur. Un attaquant local exploitant cette faille peut voir son niveau de privilèges élevé vers celui d’un utilisateur non spécifié, vraisemblablement root (administrateur).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible publiquement pour l’instant
Composants vulnérables
- NetworkManager-ssh jusqu’à la version 1.2.11
CVE
- CVE-2020-9355
Solutions ou recommandations
Recommandations
Mise en place de correctifs de sécurité
- Mettre à jour NetworkManager-ssh vers la 1.2.11 minimum
Solution de contournement
- Aucune solution de contournement disponible