https://thehackernews.com/2022/02/new-linux-privilege-escalation-flaw.html
CanonicalのSnapソフトウェアのパッケージ化および展開システムには複数のセキュリティの脆弱性が開示されており、その中で最も重大なものを悪用して特権を昇格させ、root特権を取得することができます。
CVE-2021-44731として追跡されているこの問題は、snap-アプリケーションの実行環境を構築するためにsnapdによって内部的に使用されるプログラムであるsnap-confine関数の特権昇格の欠陥に関係しています。
「これにより、ローカルの攻撃者は、スナップのプライベートマウント名前空間内に自分のコンテンツをバインドマウントし、snap-confineに任意のコードを実行させて特権を昇格させることにより、root権限を取得できる可能性があります。」
CVE-2021-44730 – snap-confineのscopensnapdtool()でのハードリンク攻撃
Snap Package Manager、noreply @ blogger.com(Ravie Lakshmanan)で発見された新しいLinux特権昇格の欠陥
security summary
コメント