Manager Server
Уязвимости
17
Эксплуатируемые
3
Макс. CVSS
9.8
Макс. EPSS
0.94921
Распределение по критичности
Критический
3
Высокий
7
Средний
6
Низкий
1
Затронутые диапазоны версий
4.1–4.1.464.1–4.1.46-14.2–4.2.104.2–4.2.50-150300.3.66.5
Также сопоставлено как (исходные строки): linux_enterprise_server,enterprise_storage,linux_enterprise_workstation_extension,linux_enterprise_high_performance_computing,uyuni,openstack_cloud_crowbar,caas_platform,manager_proxy,manager_retail_branch_server,manager_server,openstack_cloud,linux_enterprise_desktop
Топ уязвимостей
CVE-2019-18906Уязвимость Improper Authentication в cryptctl SUSE Linux Enterprise Server for SAP 12-SP5, SUSE Manager Server 4.0 позволяет злоумышленникам с доступом к хешированному паролю использовать его, не взламывая его. Эта проблема затрагивает: SUSE Linux Enterprise Server for SAP 12-SP5 cryptctl версии до 2.4. SUSE Manager Server 4.0 cryptctl версии до 2.4.
CVE-2023-22644Пользователь может выполнить обратную разработку токена JWT (JSON Web Token), используемого при аутентификации для доступа к Manager и API, подделав действительный токен NeuVector для выполнения вредоносных действий в NeuVector. Это может привести к RCE.
CVE-2020-8028Уязвимость неправильного контроля доступа в конфигурации salt SUSE Linux Enterprise Module для SUSE Manager Server 4.1, SUSE Manager Proxy 4.0, SUSE Manager Retail Branch Server 4.0, SUSE Manager Server 3.2, SUSE Manager Server 4.0 позволяет локальным пользователям повышать свои привилегии до root в каждой системе, управляемой SUSE Manager. На самом управляющем узле код может выполняться как пользователь salt, что потенциально позволяет повысить привилегии до root. Эта проблема затрагивает: SUSE Linux Enterprise Module для SUSE Manager Server 4.1 google-gson версии до 2.8.5-3.4.3, httpcomponents-client-4.5.6-3.4.2, httpcomponents-. SUSE Manager Proxy 4.0 release-notes-susemanager-proxy версии до 4.0.9-0.16.38.1. SUSE Manager Retail Branch Server 4.0 release-notes-susemanager-proxy версии до 4.0.9-0.16.38.1. SUSE Manager Server 3.2 salt-netapi-client версии до 0.16.0-4.14.1, spacewalk-. SUSE Manager Server 4.0 release-notes-susemanager версии до 4.0.9-3.54.1.
CVE-2026-31431В ядре Linux устранена следующая уязвимость:
crypto: algif_aead - Возврат к работе неуместно
Это в основном возвращается к совершению 72548b093ee3, за исключением копирования
Соответственные данные.
Нет никакой пользы в работе на месте в algif_aead со времен
Источник и пункт назначения приходят из разных карт. Избавиться от
все сложности, добавленные для работы на месте и просто скопировать
АД напрямую.
CVE-2022-31254Уязвимость Incorrect Default Permissions в службе rmt-server-regsharing SUSE Linux Enterprise Server для SAP 15, SUSE Linux Enterprise Server для SAP 15-SP1, SUSE Manager Server 4.1; openSUSE Leap 15.3, openSUSE Leap 15.4 позволяет локальным злоумышленникам с доступом к пользователю _rmt повышать права доступа до root. Эта проблема затрагивает: SUSE Linux Enterprise Server для SAP 15 rmt-server версии до 2.10. SUSE Linux Enterprise Server для SAP 15-SP1 rmt-server версии до 2.10. SUSE Manager Server 4.1 rmt-server версии до 2.10. openSUSE Leap 15.3 rmt-server версии до 2.10. openSUSE Leap 15.4 rmt-server версии до 2.10.
CVE-2021-4034Обнаружена уязвимость повышения локальных привилегий в утилите pkexec polkit. Приложение pkexec — это инструмент setuid, предназначенный для того, чтобы позволить непривилегированным пользователям выполнять команды от имени привилегированных пользователей в соответствии с предопределенными политиками. Текущая версия pkexec неправильно обрабатывает количество переданных параметров и в конечном итоге пытается выполнить переменные окружения как команды. Злоумышленник может воспользоваться этим, создав переменные окружения таким образом, чтобы спровоцировать pkexec на выполнение произвольного кода. При успешном выполнении атака может привести к повышению локальных привилегий, предоставляя непривилегированным пользователям административные права на целевой машине.
CVE-2023-29552Протокол нахождения услуг (SLP, RFC 2608) позволяет неаутентифицированному удаленному злоумышленнику регистрировать произвольные услуги. Это может позволить злоумышленнику использовать поддельный UDP-трафик для проведения атаки отказа в обслуживании с значительным коэффициентом усиления.
CVE-2022-21952Уязвимость Missing Authentication for Critical Function в spacewalk-java SUSE Manager Server 4.1, SUSE Manager Server 4.2 позволяет удаленным злоумышленникам легко исчерпать доступные дисковые ресурсы, что приводит к DoS. Эта проблема затрагивает: SUSE Manager Server 4.1 spacewalk-java версий до 4.1.46. SUSE Manager Server 4.2 spacewalk-java версий до 4.2.37.
CVE-2021-25321Уязвимость UNIX Symbolic Link (Symlink) Following в arpwatch из SUSE Linux Enterprise Server 11-SP4-LTSS, SUSE Manager Server 4.0, SUSE OpenStack Cloud Crowbar 9; openSUSE Factory, Leap 15.2 позволяет локальным злоумышленникам, контролирующим пользователя среды выполнения, запускать arpwatch для получения прав root при следующем перезапуске arpwatch. Эта проблема затрагивает: SUSE Linux Enterprise Server 11-SP4-LTSS arpwatch версий до 2.1a15. SUSE Manager Server 4.0 arpwatch версий до 2.1a15. SUSE OpenStack Cloud Crowbar 9 arpwatch версий до 2.1a15. openSUSE Factory arpwatch версии 2.1a15-169.5 и более ранних версий. openSUSE Leap 15.2 arpwatch версии 2.1a15-lp152.5.5 и более ранних версий.
CVE-2022-27239В cifs-utils до версии 6.14 переполнение буфера на основе стека при анализе аргумента командной строки mount.cifs ip= может привести к получению локальными злоумышленниками прав root.
CVE-2022-43754Уязвимость неправильной нейтрализации ввода во время генерации веб-страницы («Межсайтовый скриптинг») в spacewalk/Uyuni SUSE Linux Enterprise Module для SUSE Manager Server 4.2, SUSE Linux Enterprise Module для SUSE Manager Server 4.3, SUSE Manager Server 4.2 позволяет удаленным злоумышленникам внедрять код Javascript через /rhn/audit/scap/Search.do. Эта проблема затрагивает: SUSE Linux Enterprise Module для SUSE Manager Server 4.2 hub-xmlrpc-api-0.7-150300.3.9.2, inter-server-sync-0.2.4-150300.8.25.2, locale-formula-0.3-150300.3.3.2, py27-compat-salt-3000.3-150300.7.7.26.2, python-urlgrabber-3.10.2.1py2_3-150300.3.3.2, spacecmd-4.2.20-150300.4.30.2, spacewalk-backend-4.2.25-150300.4.32.4, spacewalk-client-tools-4.2.21-150300.4.27.3, spacewalk-java-4.2.43-150300.3.48.2, spacewalk-utils-4.2.18-150300.3.21.2, spacewalk-web-4.2.30-150300.3.30.3, susemanager-4.2.38-150300.3.44.3, susemanager-doc-indexes-4.2-150300.12.36.3, susemanager-docs_en-4.2-150300.12.36.2, susemanager-schema-4.2.25-150300.3.30.3, susemanager-sls версии до 4.2.28. SUSE Linux Enterprise Module для SUSE Manager Server 4.3 spacewalk-java версии до 4.3.39. SUSE Manager Server 4.2 release-notes-susemanager версии до 4.2.10.
CVE-2022-31248Уязвимость Observable Response Discrepancy в spacewalk-java SUSE Manager Server 4.1, SUSE Manager Server 4.2 позволяет удаленным злоумышленникам обнаруживать допустимые имена пользователей. Эта проблема затрагивает: SUSE Manager Server 4.1 spacewalk-java версии до 4.1.46-1. SUSE Manager Server 4.2 spacewalk-java версии до 4.2.37-1.
CVE-2022-43753Уязвимость неправильного ограничения имени пути к каталогу с ограниченным доступом («Обход пути») в spacewalk/Uyuni SUSE Linux Enterprise Module для SUSE Manager Server 4.2, SUSE Linux Enterprise Module для SUSE Manager Server 4.3, SUSE Manager Server 4.2 позволяет удаленным злоумышленникам читать файлы, доступные пользователю, запускающему процесс, обычно tomcat. Эта проблема затрагивает: SUSE Linux Enterprise Module для SUSE Manager Server 4.2 hub-xmlrpc-api-0.7-150300.3.9.2, inter-server-sync-0.2.4-150300.8.25.2, locale-formula-0.3-150300.3.3.2, py27-compat-salt-3000.3-150300.7.7.26.2, python-urlgrabber-3.10.2.1py2_3-150300.3.3.2, spacecmd-4.2.20-150300.4.30.2, spacewalk-backend-4.2.25-150300.4.32.4, spacewalk-client-tools-4.2.21-150300.4.27.3, spacewalk-java-4.2.43-150300.3.48.2, spacewalk-utils-4.2.18-150300.3.21.2, spacewalk-web-4.2.30-150300.3.30.3, susemanager-4.2.38-150300.3.44.3, susemanager-doc-indexes-4.2-150300.12.36.3, susemanager-docs_en-4.2-150300.12.36.2, susemanager-schema-4.2.25-150300.3.30.3, susemanager-sls версии до 4.2.28. SUSE Linux Enterprise Module для SUSE Manager Server 4.3 spacewalk-java версии до 4.3.39. SUSE Manager Server 4.2 release-notes-susemanager версии до 4.2.10.
CVE-2022-31255Уязвимость Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') в spacewalk/Uyuni SUSE Linux Enterprise Module для SUSE Manager Server 4.2, SUSE Linux Enterprise Module для SUSE Manager Server 4.3, SUSE Manager Server 4.2 позволяет удаленным злоумышленникам читать файлы, доступные пользователю, запускающему процесс, обычно tomcat. Эта проблема затрагивает: SUSE Linux Enterprise Module для SUSE Manager Server 4.2 hub-xmlrpc-api-0.7-150300.3.9.2, inter-server-sync-0.2.4-150300.8.25.2, locale-formula-0.3-150300.3.3.2, py27-compat-salt-3000.3-150300.7.7.26.2, python-urlgrabber-3.10.2.1py2_3-150300.3.3.2, spacecmd-4.2.20-150300.4.30.2, spacewalk-backend-4.2.25-150300.4.32.4, spacewalk-client-tools-4.2.21-150300.4.27.3, spacewalk-java-4.2.43-150300.3.48.2, spacewalk-utils-4.2.18-150300.3.21.2, spacewalk-web-4.2.30-150300.3.30.3, susemanager-4.2.38-150300.3.44.3, susemanager-doc-indexes-4.2-150300.12.36.3, susemanager-docs_en-4.2-150300.12.36.2, susemanager-schema-4.2.25-150300.3.30.3, susemanager-sls версии до 4.2.28. SUSE Linux Enterprise Module для SUSE Manager Server 4.3 spacewalk-java версии до 4.3.39. SUSE Manager Server 4.2 release-notes-susemanager версии до 4.2.10.
CVE-2014-3654Множественные уязвимости межсайтового скриптинга (XSS) в spacewalk-java 2.0.2 в Spacewalk и Red Hat Network (RHN) Satellite 5.5 и 5.6 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы в (1) kickstart/cobbler/CustomSnippetList.do, (2) channels/software/Entitlements.do или (3) admin/multiorg/OrgUsers.do.
CVE-2014-3595Уязвимость межсайтового скриптинга (XSS) в spacewalk-java 1.2.39, 1.7.54 и 2.0.2 в Spacewalk и Red Hat Network (RHN) Satellite 5.4 до 5.6 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданный запрос, который неправильно обрабатывается при регистрации.
CVE-2021-25317Уязвимость Incorrect Default Permissions в пакете cups из SUSE Linux Enterprise Server 11-SP4-LTSS, SUSE Manager Server 4.0, SUSE OpenStack Cloud Crowbar 9; openSUSE Leap 15.2, Factory позволяет локальным злоумышленникам, контролирующим пользователей lp, создавать файлы от имени root с разрешениями 0644 без возможности установить содержимое. Эта проблема затрагивает: SUSE Linux Enterprise Server 11-SP4-LTSS cups версий до 1.3.9. SUSE Manager Server 4.0 cups версий до 2.2.7. SUSE OpenStack Cloud Crowbar 9 cups версий до 1.7.5. openSUSE Leap 15.2 cups версий до 2.2.7. openSUSE Factory cups версии 2.3.3op2-2.1 и более ранних версий.