PT-2024-6102 · Canonical+4 · Snapd+5
Zeyad Gouda
·
Publicado
2024-03-14
·
Atualizado
2025-01-13
·
CVE-2024-29068
CVSS v2.0
6.2
Média
| Vetor | AV:L/AC:L/Au:S/C:C/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do snapd anteriores à 2.62
Descrição
O problema está relacionado à verificação inadequada dos tipos de arquivo durante a extração de um snap. O formato snap, por ser uma imagem do sistema de arquivos squashfs, pode conter arquivos não regulares, como pipes ou sockets. Quando o snapd extrai um snap, ele lê diretamente várias entradas de arquivo, incluindo ícones, da imagem squashfs do snap. Um invasor poderia explorar isso convencendo um usuário a instalar um snap malicioso contendo arquivos não regulares em caminhos específicos, fazendo com que o snapd bloqueie indefinidamente e resultando em uma negação de serviço.
Recomendações
Para versões do snapd anteriores à 2.62, atualize para a versão 2.62 ou posterior para resolver o problema. Como solução temporária, considere restringir a instalação de snaps de fontes não confiáveis para minimizar o risco de exploração.
Correção
DoS
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Linuxmint
Red Os
Ubuntu
Snapd