CVE-2017-14798

local privilege escalation in SUSE postgresql init script

CVSS 7.3 HIGHEPSS 1.0%CWE-61

En resumen

Un error de sincronización en el script de inicio de PostgreSQL permite que alguien con acceso a la cuenta PostgreSQL obtenga permisos de administrador (root). Un atacante podría explotar esta condición de carrera durante el inicio del sistema para elevar sus privilegios.

Detalle técnico

Una condición de carrera existe en el script init de PostgreSQL en SUSE (CWE-61) que puede ser explotada por un atacante con acceso a la cuenta postgresql para escalar privilegios a root. La vulnerabilidad ocurre durante la fase de inicialización cuando se establecen permisos o propiedad de archivos, permitiendo que un usuario malicioso manipule el flujo del proceso y obtenga privilegios elevados antes de que se apliquen controles de acceso apropiados.

Resumen generado y traducido por IA a partir de la descripción oficial.

A race condition in the postgresql init script could be used by attackers able to access the postgresql account to escalate their privileges to root.

CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Productos afectados

suse · postgresql-init

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

http://lists.suse.com/pipermail/sle-security-updates/2017-November/003420.html https://bugzilla.suse.com/show_bug.cgi?id=1062722 https://www.exploit-db.com/exploits/45184/https://www.suse.com/de-de/security/cve/CVE-2017-14798/