2022-0387: snapd: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten
Historie:
- Version 1 (2022-02-18 11:57)
- Neues Advisory
- Version 2 (2022-02-24 17:29)
- Mit USN-5292-1 zur Behebung der Schwachstellen in 'snapd' wurde eine Regression eingeführt, welche zum Bruch der 'fish shell' führen konnte. Canonical behebt die Regression für Ubuntu 21.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM durch neue Sicherheitsupdates.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren und Sicherheitsvorkehrungen zu umgehen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die Schwachstelle CVE-2021-4120 erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung aller Schwachstellen kann Einfluss auf andere Komponenten haben.
Der Hersteller stellt snapd 2.54.3 als Sicherheitsupdate bereit, macht dabei aber keine detaillierten Angaben zu den behobenen Schwachstellen.
Canonical veröffentlicht für Ubuntu 21.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM entsprechende Sicherheitsupdates für 'snapd', mit denen die hier referenzierten Schwachstellen adressiert werden.
Für Fedora 34 und 35 sowie Fedora EPEL 7, 8 und 9 stehen Sicherheitsupdates für 'snapd' auf Version 2.54.3 im Status 'testing' bereit.
Schwachstellen:
CVE-2021-3155
Schwachstelle in snapd ermöglicht Ausspähen von InformationenCVE-2021-4120
Schwachstelle in snapd ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-44730
Schwachstelle in snapd ermöglicht PrivilegieneskalationCVE-2021-44731
Schwachstelle in snapd ermöglicht Erlangen von Administratorrechten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.