Er is een nieuwe kwetsbaarheid ontdekt in de zogeheten snap-configure-functie op Ubuntu-besturingssystemen. Snap is een afgegrendelde softwareomgeving waarin je toepassingen ('snaps') verpakt en van waaruit je ze in gebruik stelt. Onderzoekers van Qualys ontdekten dat kwaadwillenden het interne programma om de toepassingen vanuit de snap-omgeving uit te voeren, kunnen misbruiken en zo ongeoorloofde rechten op de root bemachtigen.
Volgens Qualys is de vondst belangrijk, omdat Ubuntu wereldwijd meer dan veertig miljoen desktopgebruikers heeft. Door de aangetroffen kwetsbaarheid kan elke gebruiker ook zonder rechten root privileges krijgen op de kwetsbare host. Met zulke privileges kun je onder meer bestanden lezen en aanpassen, acties uitvoeren, systeemconfiguraties aanpassen, software installeren en verwijderen, en het besturingssysteem upgraden.
De onderzoekers verifieerden de kwetsbaarheid onafhankelijk, ontwikkelden een exploit en wisten op deze wijze volledige root privileges te krijgen op standaard-Ubuntu-installaties. In een blog lichten ze het euvel toe.
Inmiddels zijn er patches ontwikkeld die de kwetsbaarheid verhelpen. De leverancier van security- en compliance-oplossingen raadt aan deze snel te installeren.
En andere distro’s want ik kreeg vandaag pas de update vanuit Fedora (dnf) waardoor snap(d) versie 2.54.3.1 heeft wat volgens CVE-2021-44731de juiste versie zou moeten zijn.