Aviso de seguridad de Debian
DSA-4742-1 firejail -- actualización de seguridad
- Fecha del informe:
- 6 de ago de 2020
- Paquetes afectados:
- firejail
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2020-17367, CVE-2020-17368.
- Información adicional:
-
Tim Starling descubrió dos vulnerabilidades en firejail, un programa de entorno aislado («sandbox») para restringir el entorno de ejecución de aplicaciones no confiables.
- CVE-2020-17367
Se informó de que firejail no respetaba el marcador de fin de opciones ("--"), permitiendo que un atacante con control sobre las opciones de la línea de órdenes de la aplicación aislada escribiera datos en un fichero especificado.
- CVE-2020-17368
Se informó de que firejail, cuando redireccionaba la salida por medio de --output o de --output-stderr, concatenaba todos los argumentos de la línea de órdenes en una única cadena de caracteres que pasaba a un intérprete de órdenes («shell»). Un atacante que tuviera control sobre los argumentos de la línea de órdenes de la aplicación aislada podía aprovechar este defecto para ejecutar órdenes arbitrarias.
Para la distribución «estable» (buster), estos problemas se han corregido en la versión 0.9.58.2-2+deb10u1.
Le recomendamos que actualice los paquetes de firejail.
Para información detallada sobre el estado de seguridad de firejail, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/firejail
- CVE-2020-17367