Debians sikkerhedsbulletin

DSA-4742-1 firejail -- sikkerhedsopdatering

Rapporteret den:
6. aug 2020
Berørte pakker:
firejail
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-17367, CVE-2020-17368.
Yderligere oplysninger:

Tim Starling opdagede to sårbarheder i firejail, et sandkasseprogram til begrænsning af afviklingsmiljøet for programmer, der ikke er tillid til.

  • CVE-2020-17367

    Der blev rapporteret at firejail ikke respekterede end-of-options-separatoren (--), hvilke gjorde det muligt for en angriber med kontrol over kommandolinjeparametrene hørende til et program i sandkassen, at skrive data til en angivet fil.

  • CVE-2020-17368

    Der blev rapporteret at firejail, når der viderestilles uddata gennem --output eller --output-stderr, så samles alle kommandolinjeparametre i en enkelt streng, som overføres til en shell. En angriber, der har kontrol over kommandolinjeparametrene hørende til et program i sandkassen, kunne drage nytte af fejlen til at udføre vilkårlige kommandoer.

I den stabile distribution (buster), er disse problemer rettet i version 0.9.58.2-2+deb10u1.

Vi anbefaler at du opgraderer dine firejail-pakker.

For detaljeret sikkerhedsstatus vedrørende firejail, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/firejail