CVE-2024-29069

Versões do snapd anteriores à 2.62

O problema está relacionado à verificação inadequada dos destinos dos links simbólicos durante a extração de um snap. Isso poderia permitir que um invasor convencesse um usuário a instalar um snap malicioso, o que, por sua vez, poderia fazer com que o snapd gravasse o conteúdo do destino do link simbólico em um diretório acessível a todos. Como resultado, um usuário sem privilégios poderia obter acesso a informações privilegiadas. O formato snap é uma imagem do sistema de arquivos squashfs que pode conter links simbólicos e outros tipos de arquivos. Várias entradas de arquivo dentro da imagem snap squashfs, como ícones e arquivos da área de trabalho, são lidas diretamente pelo snapd quando extraídas.

Para resolver o problema, atualize para a versão 2.62 ou posterior. Como solução temporária, considere restringir a instalação de snaps de fontes não confiáveis para minimizar o risco de exploração. Evite usar snaps que contenham links simbólicos em caminhos que possam ser usados para gravar o conteúdo do destino do link simbólico em um diretório legível por todos.