Bulletin d'alerte Debian

DSA-4742-1 firejail -- Mise à jour de sécurité

Date du rapport :
6 août 2020
Paquets concernés :
firejail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-17367, CVE-2020-17368.
Plus de précisions :

Tim Starling a découvert deux vulnérabilités dans firejail, un programme de bac à sable pour restreindre l'environnement d'exécution d'applications non approuvées.

  • CVE-2020-17367

    firejail ne respecte pas le séparateur de fin d'options (« -- »), permettant à un attaquant doté du contrôle sur les options de la ligne de commande de l'application mise dans le bac à sable d'écrire des données dans un fichier spécifié.

  • CVE-2020-17368

    firejail lors de la redirection d'une sortie au moyen de --output ou de --output-stderr, concaténait tous les paramètres de la ligne de commande en une chaîne unique passée à l'interpréteur de commande. Un attaquant doté du contrôle sur les paramètres de la ligne de commande de l'application mise dans le bac à sable pourrait tirer avantage de ce défaut pour exécuter d'autres commandes arbitraires.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 0.9.58.2-2+deb10u1.

Nous vous recommandons de mettre à jour vos paquets firejail.

Pour disposer d'un état détaillé sur la sécurité de firejail, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/firejail.