PT-2020-5761 · Firejail+2 · Firejail+2

Tim Starling

·

Publicado

2020-08-06

·

Atualizado

2024-06-15

·

CVE-2020-17367

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
Versões 0.9.62 e anteriores do Firejail
Descrição:
O problema está relacionado à falta de medidas para neutralizar elementos especiais na função check output do arquivo output.c no ambiente de execução isolado do Firejail. Isso pode permitir que um invasor obtenha acesso a dados confidenciais, comprometa sua integridade e cause uma negação de serviço. O problema também é descrito como o Firejail não respeitando o indicador --end-of-options após a opção --output, o que pode levar à injeção de comandos.
Recomendações:
Para as versões 0.9.62 e anteriores do Firejail, como solução temporária, considere desativar a função check output até que um patch esteja disponível. Restrinja o acesso à opção --output para minimizar o risco de injeção de comando. Evite usar a opção --output com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

OS Command Injection

Argument Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78CWE-88

Identificadores relacionados

ALT-PU-2020-2617
ALT-PU-2020-2653
ALT-PU-2020-3022
ALT-PU-2020-3055
BDU:2021-01718
CVE-2020-17367
DLA-2336-1
DSA-4742-1
DSA-4767-1
MGASA-2020-0328
OPENSUSE-SU-2020:1208-1
OPENSUSE-SU-2020_1208-1
OPENSUSE-SU-2021:0271-1
OPENSUSE-SU-2021_0271-1
OPENSUSE-SU-2024:10759-1

Produtos afetados

Alt Linux
Firejail
Suse