Confira !!
O pacote kpmcore antes da versão 4.2.0-1 é vulnerável ao aumento de privilégios.
Aviso de segurança do Arch Linux ASA-202010-8
=================================================
Gravidade: alta
Data: 2020-10-18
CVE-ID: CVE-2020-27187
Pacote: kpmcore
Tipo: escalonamento de privilégio
Remoto: Não
Link: https://security.archlinux.org/AVG-1253
Resumo
=======
O pacote kpmcore antes da versão 4.2.0-1 é vulnerável a privilégios
escalação.
Resolução
==========
Atualize para 4.2.0-1.
# pacman -Syu "kpmcore> = 4.2.0-1"
O problema foi corrigido na versão 4.2.0.
Gambiarra
==========
Nenhum.
Descrição
===========
kpmcore_externalcommand helper contém uma falha lógica na qual o
serviço que invoca dbus não está devidamente verificado. Um atacante em seu
a máquina local pode substituir / etc / fstab, executar mount e outros
particionar comandos relacionados enquanto o KDE Partition Manager está em execução.
O comando mount pode então ser usado para obter privilégios completos de root.
Impacto
======
Um invasor local é capaz de escalar privilégios, modificar o sistema de arquivos
e lançar comandos de partição no host enquanto o programa está em execução.
Referências
==========
https://kde.org/info/security/advisory-20201017-1.txt
https://invent.kde.org/system/kpmcore/-/commit/c466c5db11b5cee546d1ec0594c2f1105a354fed
https://invent.kde.org/system/kpmcore/-/commit/7ec4b611dcf822439b081613cca4184689266454
https://security.archlinux.org/CVE-2020-27187
Até a próxima !!
Nenhum comentário:
Postar um comentário