PT-2022-1908 · Canonical+3 · Snapd+4

Ian Johnson

·

Publicado

2022-02-17

·

Atualizado

2022-04-26

·

CVE-2021-4120

CVSS v3.1

8.2

Alta

VetorAV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
snapd versão 2.54.2
Descrição
A vulnerabilidade está relacionada à validação insuficiente dos dados de entrada no utilitário snapd, o que pode permitir que um invasor eleve privilégios no sistema e execute código arbitrário ao injetar regras de política do AppArmor arbitrárias por meio de declarações de interface e layout de conteúdo malformadas. Isso pode levar à fuga do confinamento estrito do snap.
Recomendações
Para a versão 2.54.2 do snapd, atualize para a versão 2.54.3+18.04, 2.54.3+20.04 ou 2.54.3+21.10.1 para resolver o problema. Como solução alternativa temporária, considere restringir o uso da interface de conteúdo snap e das declarações de layout para minimizar o risco de exploração.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2022-1345
ALT-PU-2022-1765
BDU:2022-01444
CVE-2021-4120
USN-5292-1
USN-5292-2
USN-5292-3
USN-5292-4

Produtos afetados

Alt Linux
Linuxmint
Red Os
Ubuntu
Snapd