Informations de sécurité / 2020 / Informations sur la sécurité -- DSA-4742-1 firejail

Bulletin d'alerte Debian

DSA-4742-1 firejail -- Mise à jour de sécurité

Date du rapport :

6 août 2020

Paquets concernés :

firejail

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-17367, CVE-2020-17368.

Plus de précisions :

Tim Starling a découvert deux vulnérabilités dans firejail, un programme de bac à sable pour restreindre l'environnement d'exécution d'applications non approuvées.

• CVE-2020-17367

  firejail ne respecte pas le séparateur de fin d'options (« -- »), permettant à un attaquant doté du contrôle sur les options de la ligne de commande de l'application mise dans le bac à sable d'écrire des données dans un fichier spécifié.

• CVE-2020-17368

  firejail lors de la redirection d'une sortie au moyen de --output ou de --output-stderr, concaténait tous les paramètres de la ligne de commande en une chaîne unique passée à l'interpréteur de commande. Un attaquant doté du contrôle sur les paramètres de la ligne de commande de l'application mise dans le bac à sable pourrait tirer avantage de ce défaut pour exécuter d'autres commandes arbitraires.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 0.9.58.2-2+deb10u1.

Nous vous recommandons de mettre à jour vos paquets firejail.

Pour disposer d'un état détaillé sur la sécurité de firejail, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/firejail.