Avvxseg O3Ut9 Esaotllyt E 3Sdzdavxuivqwodwa Rjw9Joscufa8Al99Umirj6Sghkbmvgqai3Kgqozaxjxsk3Tlzotqqyvvsghnttk33F 3I

De multiples vulnérabilités de sécurité ont été révélées dans Canonical’s Se casser système de conditionnement et de déploiement de logiciels, dont le plus critique peut être exploité pour élever les privilèges afin d’obtenir les privilèges root.

Les snaps sont des packages d’applications autonomes conçus pour fonctionner sur les systèmes d’exploitation qui utilisent le noyau Linux et peuvent être installés à l’aide d’un outil appelé snapd.

Sauvegardes Github Automatiques

Suivi comme CVE-2021-44731le problème concerne une faille d’élévation de privilèges dans snap-confine fonction, un programme utilisé en interne par snapd pour construire l’environnement d’exécution des applications snap. La lacune est notée 7,8 sur le système de notation CVSS.

« L’exploitation réussie de cette vulnérabilité permet à tout utilisateur non privilégié d’obtenir des privilèges root sur l’hôte vulnérable », a déclaré Bharat Jogi, directeur de la recherche sur les vulnérabilités et les menaces chez Qualys, mentionnéajoutant que la faiblesse pourrait être exploitée pour « obtenir des privilèges root complets sur les installations par défaut d’Ubuntu ».

Publicité

Red Hat, dans un avis indépendant, a décrit le problème comme une « condition de concurrence » dans le composant snap-confine.

« Une condition de concurrence dans snap-confine existe lors de la préparation d’un espace de noms de montage privé pour un snap », la société c’est noté. « Cela pourrait permettre à un attaquant local d’obtenir des privilèges root en montant par liaison son propre contenu dans l’espace de noms de montage privé du composant logiciel enfichable et en faisant en sorte que snap-confine exécute du code arbitraire et donc une élévation des privilèges. »

Empêcher Les Violations De Données

Six autres failles ont également été découvertes par la société de cybersécurité –

  • CVE-2021-3995 – Démontage non autorisé dans libmount d’util-linux
  • CVE-2021-3996 – Démontage non autorisé dans libmount d’util-linux
  • CVE-2021-3997 – Récursivité incontrôlée dans les fichiers systemd-tmp de systemd
  • CVE-2021-3998 – Valeur de retour inattendue du realpath() de la glibc
  • CVE-2021-3999 – Débordement/débordement de mémoire tampon un par un dans le getcwd() de la glibc
  • CVE-2021-44730 – Attaque par lien dur dans sc_open_snapd_tool() de snap-confine

La vulnérabilité a été signalée à l’équipe de sécurité d’Ubuntu le 27 octobre 2021, après quoi des correctifs ont été publiés le 17 février dans le cadre d’un processus de divulgation coordonné.

Qualys a également souligné que même si la faille n’est pas exploitable à distance, un attaquant qui s’est connecté en tant qu’utilisateur non privilégié peut « rapidement » exploiter le bogue pour obtenir des autorisations root, ce qui nécessite que les correctifs soient appliqués dès que possible pour atténuer les menaces potentielles. .

Rate this post
Publicité
Article précédentUn homme s’introduit dans un lycée japonais et vole un bureau pour « goûter au monde de l’anime Love Live »
Article suivantDes emplois Metaverse sont disponibles chez Nike, Disney et Meta
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici