[CA8447] Poradenství pro zákazníky: Opravena lokální zranitelnost se zvýšením oprávnění v produktech ESET pro Linux a macOS

Zprávy

Zákaznické poradenství ESET 2023-0005
14. června 2023
Závažnost: Vysoká

Shrnutí

Společnost ESET interně objevila zranitelnost ve svých produktech pro Linux a macOS. Opravené verze produktů jsou k dispozici ke stažení a doporučujeme jejich aktualizaci nebo naplánování aktualizace.

Řešení

Společnost ESET připravila opravené verze svých produktů pro domácnosti, firmy a servery. Opravené verze jsou k dispozici v sekci Stáhnout na www.eset.cz nebo prostřednictvím ESET Repository.

Tento problém je vyřešen v následujících verzích:

  • ESET Server Security pro Linux 9.1.98.0, 9.0.466.0, 8.1.823.0 a novější z příslušnéých verzí
  • ESET Endpoint Antivirus pro Linux 9.1.11.0, 9.0.10.0, 8.1.12.0 a novější z příslušných verzí 
  • ESET Cyber Security 7.3.3700.0 a novější
  • ESET Endpoint Antivirus pro macOS 7.3.3600.0 a novější

Postižené programy a verze

  • ESET Server Security pro Linux 9.1.96.0, 9.0.464.0, 8.1.820.0 a starší z příslušných verzí
  • ESET Endpoint Antivirus pro Linux 9.1.4.0, 9.0.5.0, 8.1.7.0 a starší z příslušných verzí
  • ESET Cyber Security od verze 7.3 do 7.3.2100.0
  • ESET Endpoint Antivirus pro macOS od verze 7.0 do 7.2.1600.0

Podrobnosti

Během interní bezpečnostní analýzy byla identifikována zranitelnost lokálního zvýšení oprávnění. Na počítači s nainstalovaným dotčeným produktem ESET mohl uživatel s nižšími právy spustit akce s právy roota.

Společnost ESET tento možný vektor útoku odstranila a připravila nové verze svých produktů, které již nejsou náchylné k této zranitelnosti.

Identifikátor CVE pro tuto zranitelnost je CVE-2023-2847. Společnost ESET vyhodnotila závažnost této zranitelnosti jako vysokou a základní skóre podle CVSS v3.1 je 7,8 s následujícím vektorem: AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H.

Podle našich informací tuto zranitelnost v reálném prostředí nevyužívají žádné existující exploity.

Zpětná vazba a technická podpora

Pokud nám chcete poskytnout zpětnou vazbu nebo máte dotazy týkající se tohoto problému, napište nám prosím prostřednictvím ESET Security Forum nebo kontaktujte technickou podporu ESET.

Nahlášení bezpečnostních zranitelností společnosti ESET

Uvítame, pokud nám nahlásíte nalezenou bezpečnostní zranitelnost v našich produktech. Více informácí naleznete na stránce: www.eset.com/int/security-vulnerability-reporting/

Protokol verzí

  • Verze 1.0 (14. června 2023): prvotní verze tohoto dokumentu