USN-6458-1: Vulnerabilidades de Slurm. Se solucionaron varios problemas de seguridad en Slurm.
Se descubrió que Slurm no manejaba adecuadamente la administración de credenciales, lo que podría permitir que un usuario sin privilegios se hiciera pasar por la cuenta de SlurmUser. Un atacante posiblemente podría utilizar este problema para ejecutar código arbitrario como usuario root. (CVE-2022-29500)

Se descubrió que Slurm no manejaba adecuadamente el control de acceso cuando manejaba el tráfico RPC a través de PMI2 y PMIx, lo que podría permitir a un usuario sin privilegios enviar datos a un socket Unix arbitrario en el host. Un atacante posiblemente podría utilizar este problema para ejecutar código arbitrario como usuario root. (CVE-2022-29501)

Se descubrió que Slurm no manejaba adecuadamente la lógica de validación al procesar datos de entrada y salida con el cliente srun, lo que podría conducir a la interceptación de E/S del proceso. Un atacante posiblemente podría utilizar este problema para exponer información confidencial o ejecutar código arbitrario. Este problema sólo afectó a Ubuntu 22.04 LTS. (CVE-2022-29502)


USN-6457-1: Vulnerabilidades de Node.js. Se solucionaron varios problemas de seguridad en Node.js.
Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto podría utilizar este problema para provocar una denegación de servicio. (CVE-2022-0778)

Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto posiblemente podría utilizar este problema para ejecutar código arbitrario. (CVE-2022-1292)

Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto posiblemente podría utilizar este problema para ejecutar código arbitrario. (CVE-2022-2068)

Se descubrió que Node.js manejaba incorrectamente ciertas entradas. Si se engañara a un usuario o a un sistema automatizado para que abriera un archivo de entrada especialmente diseñado, un atacante remoto posiblemente podría utilizar este problema para ejecutar código arbitrario. (CVE-2022-2097)

Los problemas se pueden corregir actualizando sus sistemas a las siguientes versiones de paquete:

• Ubuntu 22.04
• libpam-slurm - 21.08.5-2ubuntu1+esm1
• libpmi0 - 21.08.5-2ubuntu1+esm1
• libpmi2-0 - 21.08.5-2ubuntu1+esm1
• libslurm-perl - 21.08.5-2ubuntu1+esm1
• libslurm37 - 21.08.5-2ubuntu1+esm1
• libslurmdb-perl - 21.08.5-2ubuntu1+esm1
• slurm-client - 21.08.5-2ubuntu1+esm1
• slurm-wlm - 21.08.5-2ubuntu1+esm1
• slurm-wlm-basic-plugins - 21.08.5-2ubuntu1+esm1
• slurmctld - 21.08.5-2ubuntu1+esm1
• slurmd - 21.08.5-2ubuntu1+esm1
• slurmdbd - 21.08.5-2ubuntu1+esm1
• slurmrestd - 21.08.5-2ubuntu1+esm1
• libnode-dev - 12.22.9~dfsg-1ubuntu3.1
• libnode72 - 12.22.9~dfsg-1ubuntu3.1
• nodejs - 12.22.9~dfsg-1ubuntu3.1
• nodejs-doc - 12.22.9~dfsg-1ubuntu3.1
• Ubuntu 20.04
• libpam-slurm - 19.05.5-1ubuntu0.1~esm2
• libpmi0 - 19.05.5-1ubuntu0.1~esm2
• libpmi2-0 - 19.05.5-1ubuntu0.1~esm2
• libslurm-perl - 19.05.5-1ubuntu0.1~esm2
• libslurm34 - 19.05.5-1ubuntu0.1~esm2
• libslurmdb-perl - 19.05.5-1ubuntu0.1~esm2
• slurm-client - 19.05.5-1ubuntu0.1~esm2
• slurm-wlm - 19.05.5-1ubuntu0.1~esm2
• slurm-wlm-basic-plugins - 19.05.5-1ubuntu0.1~esm2
• slurmctld - 19.05.5-1ubuntu0.1~esm2
• slurmd - 19.05.5-1ubuntu0.1~esm2
• slurmdbd - 19.05.5-1ubuntu0.1~esm2

En general, una actualización estándar del sistema realizará todos los cambios necesarios.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es