Bug 13917

Summary:	[CVE 21] openpmix 3.1.5 CVEs found
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Yury <y.tumanov>
Component:	System (kernel, glibc, systemd, bash, PAM...)	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	critical
Priority:	Highest	CC:	a.proklov, e.kosachev, pastordidi, s.matveev, v.potapov, y.tumanov
Version:	All	Flags:	v.potapov: qa_verified+ y.tumanov: secteam_verified+ a.proklov: published+
Target Milestone:	---
Hardware:	All
OS:	Linux
URL:	CVE-2023-41915,
Whiteboard:
Platform:	2021.1	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Yury 2023-10-18 20:29:42 MSK

Please patch CVEs for package openpmix version 3.1.5
  
INFO (CVEs are): openpmix 3.1.5
 cves found
CVE-2023-41915
Desc: OpenPMIx PMIx before 4.2.6 and 5.0.x before 5.0.1 allows attackers to obtain ownership of arbitrary files via a race condition during execution of library code with UID 0.
Link: https://nvd.nist.gov/vuln/detail/CVE-2023-41915
Severity: HIGH

Comment 1 Vladimir Potapov 2023-10-20 18:04:19 MSK

*** Bug 13785 has been marked as a duplicate of this bug. ***

Comment 2 Aleksandr Proklov 2023-11-02 07:54:01 MSK

Уязвимость закрыта обновлением

openpmix	3.1.7-1

https://abf.io/build_lists/4812497
https://abf.io/build_lists/4812498
https://abf.io/build_lists/4812499
https://abf.io/build_lists/4812500
https://abf.io/build_lists/4812501

Comment 3 Dmitry Postnikov 2023-11-07 11:02:41 MSK

*****************************
Обновление отослано в Тестинг

Comment 4 Yury 2023-11-07 11:11:03 MSK

secteam_verified

Comment 5 Vladimir Potapov 2023-11-09 10:27:07 MSK

(In reply to Aleksandr Proklov from comment #2)
> Уязвимость закрыта обновлением
> 
> openpmix	3.1.7-1
в базе https://nvd.nist.gov/vuln/detail/CVE-2023-41915 версия 3.1.7 считается уязвимой. Более того, сейчас идет пересмотр.
This vulnerability has been modified and is currently undergoing reanalysis. Please check back soon to view the updated vulnerability summary.

Comment 6 Aleksandr Proklov 2023-11-10 05:52:53 MSK

https://github.com/openpmix/openpmix/releases

сходи по ссылке, читкани описание к релизу 3.1.7, там буквы непонятные для меня. не устраивает - дайте патч для закрытия этой уязвимости.

Comment 7 Vladimir Potapov 2023-11-10 09:27:19 MSK

(In reply to Aleksandr Proklov from comment #6)
> https://github.com/openpmix/openpmix/releases
> 
> сходи по ссылке, читкани описание к релизу 3.1.7, там буквы непонятные для
> меня. не устраивает - дайте патч для закрытия этой уязвимости.
Ну, там понятно, мы эту ветку уже не поддерживаем но без гарантий вот обновили, кушайте не обляпайтесь.
Если нам серьезно этот проект нужен, нужно мажорно обновлять или дожидаться, пока кто-то из грандов выпустит патч.

Comment 8 Aleksandr Proklov 2023-11-10 12:57:05 MSK

ну так сделали что могли, какие предложения?

Comment 9 Vladimir Potapov 2023-11-10 13:06:45 MSK

(In reply to Aleksandr Proklov from comment #8)
> ну так сделали что могли, какие предложения?
пока замять для ясности. Когда будет время, если пакет нужен, предусмотреть переход на поддерживаемую мажорную версию.

Comment 10 Aleksandr Proklov 2023-11-10 13:09:43 MSK

обновление откатить?

Comment 11 Vladimir Potapov 2023-11-10 13:35:02 MSK

(In reply to Aleksandr Proklov from comment #10)
> обновление откатить?
нет конечно! Если б откатить, я бы минусик поставил, а так просто ворчу...

Comment 12 Vladimir Potapov 2023-11-10 13:36:30 MSK

openpmix-3.1.7-1
https://abf.io/build_lists/4812497
https://abf.io/build_lists/4812498
https://abf.io/build_lists/4812499
https://abf.io/build_lists/4812500
https://abf.io/build_lists/4812501
************************** Advisory *********************
CVE-2023-41915 fix? by minor update
*********************************************************
QA Verified