Vulnerabilità: CVE-2020-5291

Bubblewrap (bwrap) prima della versione 0.4.1, se installato in modalità setuid e il kernel supporta i namespace utenti non privilegiati, quindi l’opzione `bwrap –userns2` può essere usato per fare il mastio processo setuid in esecuzione come root pur essendo tracciabile. Questo a sua volta può essere utilizzato per ottenere i permessi di root. Si noti che questo riguarda solo la combinazione di bubblewrap in modalità setuid (che è tipicamente utilizzato quando namespace utente senza privilegi non sono supportati) e il supporto dei namespace utente non privilegiato. Noto per essere colpiti sono: * Debian testing / unstable, se gli spazi dei nomi utente senza privilegi abilitati (non di default) * Debian Buster-backports, se gli spazi dei nomi utente senza privilegi abilitati (non di default) * Arch se si utilizza `linux-hardened`, se gli spazi dei nomi utente senza privilegi abilitata (non di default) * Centos 7 Flatpak COPR, se namespace utente senza privilegi abilitati (non di default) Ciò è stato risolto nella versione 0.4.1, e tutti gli utenti interessati dovrebbe aggiornare.


https://github.com/containers/bubblewrap/security/advisories/GHSA-j2qp-rvxj-43vj
https://github.com/containers/bubblewrap/commit/1f7e2ad948c051054b683461885a0215f1806240
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5291


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi