Debians sikkerhedsbulletin
DSA-4742-1 firejail -- sikkerhedsopdatering
- Rapporteret den:
- 6. aug 2020
- Berørte pakker:
- firejail
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2020-17367, CVE-2020-17368.
- Yderligere oplysninger:
-
Tim Starling opdagede to sårbarheder i firejail, et sandkasseprogram til begrænsning af afviklingsmiljøet for programmer, der ikke er tillid til.
- CVE-2020-17367
Der blev rapporteret at firejail ikke respekterede end-of-options-separatoren (
--
), hvilke gjorde det muligt for en angriber med kontrol over kommandolinjeparametrene hørende til et program i sandkassen, at skrive data til en angivet fil. - CVE-2020-17368
Der blev rapporteret at firejail, når der viderestilles uddata gennem --output eller --output-stderr, så samles alle kommandolinjeparametre i en enkelt streng, som overføres til en shell. En angriber, der har kontrol over kommandolinjeparametrene hørende til et program i sandkassen, kunne drage nytte af fejlen til at udføre vilkårlige kommandoer.
I den stabile distribution (buster), er disse problemer rettet i version 0.9.58.2-2+deb10u1.
Vi anbefaler at du opgraderer dine firejail-pakker.
For detaljeret sikkerhedsstatus vedrørende firejail, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/firejail
- CVE-2020-17367