Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06997

Опубликовано: 25 июл. 2024
Источник: fstec
CVSS3: 7.3
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость утилиты для управления самодостаточными пакетами snapd связана с неправильной проверкой назначения символических ссылок при извлечении snap. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальной информации

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Canonical Ltd.

Наименование ПО

Debian GNU/Linux
РЕД ОС
snapd

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 2.62 (snapd)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Для snapd: https://github.com/canonical/snapd/pull/13682
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-29069

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00027
Низкий

7.3 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-29069

CVSS3: 4.8
ubuntu
11 месяцев назад

In snapd versions prior to 2.62, snapd failed to properly check the destination of symbolic links when extracting a snap. The snap format is a squashfs file-system image and so can contain symbolic links and other file types. Various file entries within the snap squashfs image (such as icons and desktop files etc) are directly read by snapd when it is extracted. An attacker who could convince a user to install a malicious snap which contained symbolic links at these paths could then cause snapd to write out the contents of the symbolic link destination into a world-readable directory. This in-turn could allow an unprivileged user to gain access to privileged information.

nvd логотип

CVE-2024-29069

CVSS3: 4.8
nvd
11 месяцев назад

In snapd versions prior to 2.62, snapd failed to properly check the destination of symbolic links when extracting a snap. The snap format is a squashfs file-system image and so can contain symbolic links and other file types. Various file entries within the snap squashfs image (such as icons and desktop files etc) are directly read by snapd when it is extracted. An attacker who could convince a user to install a malicious snap which contained symbolic links at these paths could then cause snapd to write out the contents of the symbolic link destination into a world-readable directory. This in-turn could allow an unprivileged user to gain access to privileged information.

debian логотип

CVE-2024-29069

CVSS3: 4.8
debian
11 месяцев назад

In snapd versions prior to 2.62, snapd failed to properly check the de ...

github логотип

GHSA-69p6-gp5x-j269

CVSS3: 4.8
github
11 месяцев назад

snapd failed to properly check the destination of symbolic links when extracting a snap

redos логотип

ROS-20240910-07

CVSS3: 8.1
redos
10 месяцев назад

Множественные уязвимости snapd

EPSS

Процентиль: 6%
0.00027
Низкий

7.3 High

CVSS3

6.8 Medium

CVSS2