PT-2020-3489 · Canonical+1 · Apport+2
Ga_Ryo
+1
·
Publicado
2020-08-04
·
Atualizado
2025-11-03
·
CVE-2020-15702
CVSS v3.1
7.0
Alta
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do apport anteriores à 2.20.1-0ubuntu2.24
Versões do apport 2.20.9 anteriores à 2.20.9-0ubuntu7.16
Versões do apport 2.20.11 anteriores à 2.20.11-0ubuntu27.6
Descrição
A vulnerabilidade existe devido à verificação insuficiente do estado de um recurso compartilhado no serviço de relatório de erros do apport. Isso pode permitir que um invasor eleve privilégios e execute código arbitrário. Um invasor pode explorar a reciclagem de PID para gerar um processo root com o mesmo PID de um processo que sofreu falha, o qual pode então ser usado para elevar privilégios.
Recomendações
Para versões do apport anteriores à 2.20.1-0ubuntu2.24, atualize para a versão 2.20.1-0ubuntu2.24 ou posterior.
Para versões do apport 2.20.9 anteriores à 2.20.9-0ubuntu7.16, atualize para a versão 2.20.9-0ubuntu7.16 ou posterior.
Para versões do apport 2.20.11 anteriores à 2.20.11-0ubuntu27.6, atualize para a versão 2.20.11-0ubuntu27.6 ou posterior.
Como solução temporária, considere restringir o acesso ao serviço apport para minimizar o risco de exploração.
Correção
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Ubuntu
Apport