PT-2022-1924 · Canonical+3 · Snapd+4

Publicado

2022-02-17

·

Atualizado

2022-04-26

·

CVE-2021-44730

CVSS v3.1

7.8

Alta

VetorAV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do snapd 2.54.2 a 2.54.3+18.04
Versões do snapd 2.54.2 a 2.54.3+20.04
Versões do snapd 2.54.2 a 2.54.3+21.10.1
Descrição
O problema está relacionado a um erro de link físico no binário snap-confine do utilitário snapd. Um invasor local pode explorar essa vulnerabilidade criando um link físico para o binário, o que lhe permite executar binários arbitrários e obter escalonamento de privilégios.
Recomendações
Para as versões 2.54.2 do snapd, atualize para a versão 2.54.3+18.04 ou posterior.
Para versões do snapd anteriores à 2.54.3+20.04, atualize para a versão 2.54.3+20.04 ou posterior.
Para versões do snapd anteriores à 2.54.3+21.10.1, atualize para a versão 2.54.3+21.10.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao binário snap-confine para minimizar o risco de exploração.

Correção

Link Following

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-59CWE-62

Identificadores relacionados

ALT-PU-2022-1345
ALT-PU-2022-1765
BDU:2022-01460
CVE-2021-44730
DSA-5080-1
USN-5292-1
USN-5292-2
USN-5292-3
USN-5292-4

Produtos afetados

Alt Linux
Linuxmint
Red Os
Ubuntu
Snapd