2018-0270: Flatpak: Zwei Schwachstellen ermöglichen die Eskalation von Privilegien und das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2018-02-12 10:39)

Neues Advisory

Version 2 (2018-09-26 13:08)

Für Oracle Linux 7 und für Red Hat Enterprise Linux (RHEL) Server, Workstation, Desktop und for ARM 7 sowie für RHEL Server EUS 7.5 stehen Sicherheitsupdates für das Paket 'flatpak' bereit, welche die Schwachstelle CVE-2018-6560 adressieren.

Betroffene Software

Sicherheit
Virtualisierung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Zwei Schwachstellen in Flatpak ermöglichen einem lokalen, nicht authentisierten Angreifer die Eskalation von Privilegien aufgrund falsch gesetzter Dateiberechtigungen und den Ausbruch aus der Sandbox mit Hilfe speziell präparierter D-Bus-Nachrichten an den Host.

Für openSUSE Leap 42.3 stehen Sicherheitsupdates auf Flatpak 0.8.9 zur Verfügung, mit denen die Schwachstellen behoben werden. Die Schwachstelle CVE-2017-9780 wurde bereits in Flatpack 0.8.7 adressiert.

Schwachstellen:

CVE-2017-9780

Schwachstelle in Flatpak ermöglicht Privilegieneskalation

CVE-2018-6560

Schwachstelle in Flatpak ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.