CVE-2024-6760

A logic bug in the code which disables kernel tracing for setuid programs meant that tracing was not disabled when it should have, allowing unprivileged users to trace and inspect the behavior of setuid programs. The bug may be used by an unprivileged user to read the contents of files to which they would not otherwise have access, such as the local password database.

CVSS v3 7.5 HIGH

7.5^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://security.freebsd.org/advisories/FreeBSD-SA-24:06.ktrace.asc	Vendor Advisory
https://security.netapp.com/advisory/ntap-20240816-0010/

Configurations

Configuration 1 (hide)

OR	cpe:2.3:o:freebsd:freebsd::::::::
	cpe:2.3:o:freebsd:freebsd::::::::
	cpe:2.3:o:freebsd:freebsd:13.3:p1::::::
	cpe:2.3:o:freebsd:freebsd:13.3:p2::::::
	cpe:2.3:o:freebsd:freebsd:13.3:p3::::::
	cpe:2.3:o:freebsd:freebsd:13.3:p4::::::
	cpe:2.3:o:freebsd:freebsd:14.0:beta5::::::
	cpe:2.3:o:freebsd:freebsd:14.0:p1::::::
	cpe:2.3:o:freebsd:freebsd:14.0:p2::::::
	cpe:2.3:o:freebsd:freebsd:14.0:p3::::::
	cpe:2.3:o:freebsd:freebsd:14.0:p4::::::
	cpe:2.3:o:freebsd:freebsd:14.0:p5::::::
	cpe:2.3:o:freebsd:freebsd:14.0:p6::::::
	cpe:2.3:o:freebsd:freebsd:14.0:p7::::::
	cpe:2.3:o:freebsd:freebsd:14.0:p8::::::
	cpe:2.3:o:freebsd:freebsd:14.0:rc3::::::
	cpe:2.3:o:freebsd:freebsd:14.0:rc4-p1::::::
	cpe:2.3:o:freebsd:freebsd:14.1:p1::::::
	cpe:2.3:o:freebsd:freebsd:14.1:p2::::::

History

21 Nov 2024, 09:50

Type	Values Removed	Values Added
References		() https://security.netapp.com/advisory/ntap-20240816-0010/ -

29 Oct 2024, 20:35

Type	Values Removed	Values Added
CWE		CWE-862

13 Aug 2024, 15:08

Type	Values Removed	Values Added
References	~~() https://security.freebsd.org/advisories/FreeBSD-SA-24:06.ktrace.asc -~~	() https://security.freebsd.org/advisories/FreeBSD-SA-24:06.ktrace.asc - Vendor Advisory
CPE		cpe:2.3:o:freebsd:freebsd:14.0:p1:::::: cpe:2.3:o:freebsd:freebsd:13.3:p3:::::: cpe:2.3:o:freebsd:freebsd:14.0:p7:::::: cpe:2.3:o:freebsd:freebsd:14.0:p6:::::: cpe:2.3:o:freebsd:freebsd:13.3:p1:::::: cpe:2.3:o:freebsd:freebsd:14.0:p2:::::: cpe:2.3:o:freebsd:freebsd:14.0:rc3:::::: cpe:2.3:o:freebsd:freebsd:::::::: cpe:2.3:o:freebsd:freebsd:14.0:p4:::::: cpe:2.3:o:freebsd:freebsd:14.1:p2:::::: cpe:2.3:o:freebsd:freebsd:14.0:beta5:::::: cpe:2.3:o:freebsd:freebsd:14.0:p5:::::: cpe:2.3:o:freebsd:freebsd:13.3:p4:::::: cpe:2.3:o:freebsd:freebsd:14.0:rc4-p1:::::: cpe:2.3:o:freebsd:freebsd:14.0:p8:::::: cpe:2.3:o:freebsd:freebsd:14.0:p3:::::: cpe:2.3:o:freebsd:freebsd:14.1:p1:::::: cpe:2.3:o:freebsd:freebsd:13.3:p2::::::
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 7.5
First Time		Freebsd freebsd Freebsd
Summary		(es) Un error lógico en el código que deshabilita el rastreo del kernel para programas setuid significó que el rastreo no se deshabilitó cuando debería haberlo hecho, permitiendo a los usuarios sin privilegios rastrear e inspeccionar el comportamiento de los programas setuid. Un usuario sin privilegios puede utilizar el error para leer el contenido de archivos a los que de otro modo no tendría acceso, como la base de datos de contraseñas local.
CWE		NVD-CWE-noinfo

12 Aug 2024, 13:41

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-08-12 13:38

Updated : 2024-11-21 09:50

NVD link : CVE-2024-6760

Mitre link : CVE-2024-6760

CVE.ORG link : CVE-2024-6760

JSON object : View

Products Affected

freebsd

freebsd

CWE

NVD-CWE-noinfo CWE-862

Missing Authorization

7.5 /10