Información sobre seguridad / 2020 / Información sobre seguridad -- DSA-4742-1 firejail

Aviso de seguridad de Debian

DSA-4742-1 firejail -- actualización de seguridad

Fecha del informe:

6 de ago de 2020

Paquetes afectados:

firejail

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2020-17367, CVE-2020-17368.

Información adicional:

Tim Starling descubrió dos vulnerabilidades en firejail, un programa de entorno aislado («sandbox») para restringir el entorno de ejecución de aplicaciones no confiables.

• CVE-2020-17367

  Se informó de que firejail no respetaba el marcador de fin de opciones ("--"), permitiendo que un atacante con control sobre las opciones de la línea de órdenes de la aplicación aislada escribiera datos en un fichero especificado.

• CVE-2020-17368

  Se informó de que firejail, cuando redireccionaba la salida por medio de --output o de --output-stderr, concatenaba todos los argumentos de la línea de órdenes en una única cadena de caracteres que pasaba a un intérprete de órdenes («shell»). Un atacante que tuviera control sobre los argumentos de la línea de órdenes de la aplicación aislada podía aprovechar este defecto para ejecutar órdenes arbitrarias.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 0.9.58.2-2+deb10u1.

Le recomendamos que actualice los paquetes de firejail.

Para información detallada sobre el estado de seguridad de firejail, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/firejail