Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-04789

CVSS: 5.5

11.06.2024

Уязвимость компонентов DefaultAzureCredential и ManagedIdentityCredential библиотек аутентификации Azure Identity Libraries и Microsoft Authentication Library, позволяющая нарушителю повысить свои привилегии

Уязвимость компонентов DefaultAzureCredential и ManagedIdentityCredential библиотек аутентификации Azure Identity Libraries и Microsoft Authentication Library связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	11.06.2024
Класс уязвимости:	Уязвимость архитектуры
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование сроками и состоянием
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35255

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-362	CWE-362 Race Condition (Concurrent Execution using Shared Resource with Improper Synchronization)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2024-35255	Azure Identity Libraries and Microsoft Authentication Library Elevation of Privilege Vulnerability

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
4.6	MEDIUM	2.0	AV:L/AC:L/Au:S/C:C/I:N/A:N
5.5	MEDIUM	3.0	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2024-35255

Вендор:	Microsoft Corp.
Тип ПО:	Прикладное ПО информационных систем
Наименование ПО:	Azure Identity Library for .NET Azure Identity Library for C++ Azure Identity Library for Go Azure Identity Library for Java Azure Identity Library for JavaScript Azure Identity Library for Python Microsoft Authentication Library (MSAL) for .NET Microsoft Authentication Library (MSAL) for Java Microsoft Authentication Library (MSAL) for Node.js
Версия ПО:	до 1.11.4 (Azure Identity Library for .NET) до 1.8.0 (Azure Identity Library for C++) до 1.6.0 (Azure Identity Library for Go) до 1.12.2 (Azure Identity Library for Java) до 4.2.1 (Azure Identity Library for JavaScript) до 1.16.1 (Azure Identity Library for Python) от 4.49.1 до 4.61.3 (Microsoft Authentication Library (MSAL) for .NET) от 1.14.4-beta до 1.15.1 (Microsoft Authentication Library (MSAL) for Java) от 2.7.0 до 2.9.2 (Microsoft Authentication Library (MSAL) for Node.js)
Ссылки на источники:	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35255 https://www.nuget.org/packages/Microsoft.Identity.Client/ https://mvnrepository.com/artifact/com.microsoft.azure/msal4j https://www.npmjs.com/package/@azure/msal-node https://learn.microsoft.com/en-us/dotnet/api/azure.identity.defaultazurecredential?view=azure-dotnet https://learn.microsoft.com/ru-ru/dotnet/api/azure.identity.managedidentitycredential?view=azure-dotnet

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-04789