Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que afectan a OpenStack (plataforma en la nube que se utiliza para proporcionar una infraestructura como servicio IaaS), que permitirían a un atacante local autenticado realizar escalamiento de privilegios a través de una solicitud especialmente diseñada en los sistemas afectados.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2022-38065, de severidad “Alta” y con puntuación de 8.8. en CVSv3 Esta vulnerabilidad se debe a una falla de control de privilegios en la funcionalidad oslo.privsep de OpenStack. Esto permitiría a un atacante local autenticado realizar escalamiento de privilegios en el sistema afectado.
- CVE-2022-38060 de severidad “Alta” y con puntuación de 8.8 en CVSv3. Esta vulnerabilidad se debe a una falla de control de privilegios en la funcionalidad sudo de OpenStack. Esto permitiría a un atacante local autenticado realizar escalamiento de privilegios en el sistema afectado.
Los productos afectados son:
- OpenStack git master.
- OpenStack Kolla git master.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2022-38065-openstack-privilege-escalation-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2022-38065
- https://nvd.nist.gov/vuln/detail/CVE-2022-38060
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2022-1599
- https://www.talosintelligence.com/vulnerability_reports/TALOS-2022-1589
- https://opendev.org/openstack