CVE-2020-12831 – frr: default permission issue eases information leaks

https://notcve.org/view.php?id=CVE-2020-12831

An issue was discovered in FRRouting FRR (aka Free Range Routing) through 7.3.1. When using the split-config feature, the init script creates an empty config file with world-readable default permissions, leading to a possible information leak via tools/frr.in and tools/frrcommon.sh.in. NOTE: some parties consider this user error, not a vulnerability, because the permissions are under the control of the user before any sensitive information is present in the file ** EN DISPUTA ** Se detectó un problema en FRRouting FRR (también se conoce como Free Range Routing) versiones hasta 7.3.1. Cuando se utiliza la funcionalidad split-config, crea un archivo de configuración vacío con permisos predeterminados world-readable, conllevando a un posible filtrado de información por medio del archivo tools/frr.in y tools/frrcommon.sh.in. NOTA: algunos terceros consideran esto un error de usuario, no una vulnerabilidad, porque los permisos están bajo el control del usuario antes de que alguna información confidencial este presente en el archivo. • https://bugzilla.redhat.com/show_bug.cgi?id=1830805 https://github.com/FRRouting/frr/pull/6383 https://access.redhat.com/security/cve/CVE-2020-12831 • CWE-276: Incorrect Default Permissions CWE-732: Incorrect Permission Assignment for Critical Resource •