Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04784

Опубликовано: 11 фев. 2019
Источник: fstec
CVSS3: 7.7
CVSS2: 6.2
EPSS Низкий

Описание

Уязвимость инструмента для управления приложениями и средами Flatpak связана с ошибками при обработке файловых дескрипторов. Эксплуатация уязвимости может позволить нарушителю изменить произвольные исполняемые файлы на стороне хоста, запустив сценарий «apply_extra»

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
Novell Inc.

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
OpenSUSE Leap
Flatpak

Версия ПО

7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
15.0 (OpenSUSE Leap)
от 1.1.0 до 1.1.3 включительно (Flatpak)
10 (Debian GNU/Linux)
до 1.0.7 (Flatpak)
от 1.2.0 до 1.2.3 включительно (Flatpak)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 15.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Flatpak:
https://github.com/flatpak/flatpak/releases/tag/1.0.7
https://github.com/flatpak/flatpak/releases/tag/1.2.3
Для Debian GNU/Linux:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=922059
https://www.debian.org/security/2019/dsa-4390
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:0375
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-08/msg00088.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%
0.00068
Низкий

7.7 High

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-8308

CVSS3: 8.2
ubuntu
больше 6 лет назад

Flatpak before 1.0.7, and 1.1.x and 1.2.x before 1.2.3, exposes /proc in the apply_extra script sandbox, which allows attackers to modify a host-side executable file.

redhat логотип

CVE-2019-8308

CVSS3: 7.7
redhat
больше 6 лет назад

Flatpak before 1.0.7, and 1.1.x and 1.2.x before 1.2.3, exposes /proc in the apply_extra script sandbox, which allows attackers to modify a host-side executable file.

nvd логотип

CVE-2019-8308

CVSS3: 8.2
nvd
больше 6 лет назад

Flatpak before 1.0.7, and 1.1.x and 1.2.x before 1.2.3, exposes /proc in the apply_extra script sandbox, which allows attackers to modify a host-side executable file.

debian логотип

CVE-2019-8308

CVSS3: 8.2
debian
больше 6 лет назад

Flatpak before 1.0.7, and 1.1.x and 1.2.x before 1.2.3, exposes /proc ...

github логотип

GHSA-26wh-22xw-qfqx

CVSS3: 8.2
github
больше 3 лет назад

Flatpak before 1.0.7, and 1.1.x and 1.2.x before 1.2.3, exposes /proc in the apply_extra script sandbox, which allows attackers to modify a host-side executable file.

EPSS

Процентиль: 21%
0.00068
Низкий

7.7 High

CVSS3

6.2 Medium

CVSS2