Actualización Red Hat para Flatpak
- Publicado: 07/05/2019
- Importancia: Media
- Recursos afectados
Red Hat ha publicado actualizaciones para flatpak que corrige la vulnerabilidad que podría ser explotada por atacantes y evitar restricciones de seguridad.
Se puede aprovechar la falla al manejar el ioctl (acepta muchos posibles argumentos de comandos) de TIOCSTI para omitir los filtros seccomp (instalación de seguridad en el kernel de Linux) y posteriormente ejecutar código malicioso con privilegios de host.
Productos afectados:
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Nodo 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Estación de trabajo 7
CVE-2019-10063: permite un bypass de sandbox, tilizando un filtro seccomp para evitar que las aplicaciones de espacio aislado utilicen el ioctl de TIOCSTI, que de otro modo se podría usar para inyectar comandos en el terminal de control para que se ejecuten fuera del recinto de arena después del Salidas de la aplicación de caja de arena.
Productos afectados:
Flatpak 1.0.8, 1.1.xy, 1.2.x, 1.2.4, 1.3.x, 1.3.1