被多个Linux发行版本所使用的软件发行和套装管理系统「snapd」中发现了一个漏洞。该漏洞可通过滥用snapd的应用程式界面(API)导致受影响系统权限提升。本机攻击者可利用此漏洞在受影响系统取得root权限。
以下仅为一些受影响Linux系统的例子。该列表并不包括所有受影响的系统,我们强烈建议用户咨询产品供应商以确定使用的Linux系统是否受到影响。
成功利用这个漏洞可以导致受影响的系统权限提升。
有些受影响的Linux发行版本,例如 Ubuntu 及 Debian ,已提供了解决措施。系统管理员应向产品供应商查询其 Linux 系统是否受影响及修补程式的情况。若修补程式已提供,系统管理员应立即安装及遵从产品供应商的建议以降低风险。
https://securityaffairs.co/wordpress/81059/hacking/snapd-privilege-escalation.html
https://thehackernews.com/2019/02/snapd-linux-privilege-escalation.html
https://www.hkcert.org/my_url/zh/alert/19021401
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7304