quarta-feira, 15 de julho de 2020
Atualização de segurança do Ubuntu para corrigir as vulnerabilidades do snapd, aviso Ubuntu 4424-1
Confira !
Uma restrição de acesso pretendida no snapd pode ser ignorada por snaps de modo estrito.
==================================================== ========================
Aviso de Segurança do Ubuntu USN-4424-1
15 de julho de 2020
vulnerabilidades snapd
==================================================== ========================
Um problema de segurança afeta estes lançamentos do Ubuntu e seus derivados:
- Ubuntu 20.04 LTS
- Ubuntu 19.10
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS
Resumo:
Uma restrição de acesso pretendida no snapd pode ser ignorada pelo modo estrito
snaps.
Descrição do software:
- snapd: Daemon e ferramentas que permitem pacotes de snap
Detalhes:
Foi descoberto que o cloud-init é gerenciado pelo snapd no Ubuntu Core 16
e os dispositivos Ubuntu Core 18 rodavam em cada inicialização sem restrições. UMA
atacante físico poderia explorar isso para criar cloud-init
dados do usuário / metadados via mídia externa para realizar alterações arbitrárias
o dispositivo para ignorar os mecanismos de segurança pretendidos, como disco completo
criptografia. Esse problema não afetou os sistemas tradicionais do Ubuntu.
(CVE-2020-11933)
Foi descoberto que o snapctl user-open permitia alterar o
Variável de ambiente XDG_DATA_DIRS ao chamar o sistema xdg-open. UMA
um snap malicioso pode explorar isso para ignorar as restrições de acesso pretendidas
para controlar como o script xdg-open do sistema host abre a URL. Esse assunto
não afetou os sistemas Ubuntu Core. (CVE-2020-11934)
Instruções de atualização:
O problema pode ser corrigido atualizando o sistema para o seguinte
versões do pacote:
Ubuntu 20.04 LTS:
snapd 2.45.1 + 20.04.2
Ubuntu 19.10:
snapd 2.45.1 + 19.10.2
Ubuntu 18.04 LTS:
snapd 2.45.1 + 18.04.2
Ubuntu 16.04 LTS:
snapd 2.45.1ubuntu0.2
Em geral, uma atualização padrão do sistema fará todas as alterações necessárias.
No Ubuntu, o snapd se atualiza automaticamente para o snapd 2.45.2, que
não é afetado.
Referências:
https://usn.ubuntu.com/4424-1
CVE-2020-11933, CVE-2020-11934
Informações do pacote:
https://launchpad.net/ubuntu/+source/snapd/2.45.1+20.04.2
https://launchpad.net/ubuntu/+source/snapd/2.45.1+19.10.2
https://launchpad.net/ubuntu/+source/snapd/2.45.1+18.04.2
https://launchpad.net/ubuntu/+source/snapd/2.45.1ubuntu0.2
Fonte
Até a próxima !
Marcadores: Linux, Android, Segurança
Linux,
linux distros,
Linux Segurança,
Notícia,
Ubuntu
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário