Snap
O pacotes Snap são o foco da Canonical para o Ubuntu Linux, atualmente a central de programas do Ubuntu da preferência na pesquisa por programas aos empacotados por Snap
Teoricamente os pacotes Snap são confinados e não deveriam realizar alterações no sistema operacional, mas em 17 de Fevereiro a Qualys Security Advisoryanunciou descobertas de falhas criticas de segurança em pacotes Snap, essa falha permite que um atacante consiga poderes de Root facilmente e a partir dai controle total do sistema.
"Recentemente, auditamos o snap-confine (um programa SUID-root que é instalado por padrão no Ubuntu) e descobrimos duas vulnerabilidades (duas Privilege Escalations, de qualquer usuário para root): CVE-2021-44730 e CVE-2021-44731."
O snap-confine é o responsável pela criação do ambiente de execução dos pacotes Snap, mas não para só nele, outros pacotes também foram examinados e outras falhas descobertas.
Confira no vídeo a demonstração da falha.
Oh Snap! More Lemmings from Qualys, Inc. on Vimeo.
Ainda bem que não uso esse formato de pacote, estou livre desse mal.
ResponderExcluirA primeira coisa que faço quando instalo o Ubuntu é remover o snapd.
Obrigado pela informação, Ricardo!
Se você entrar em desespero toda vez que for encontrado alguma vulnerabilidade num APP que você usa, você vai morar nas caverna.
ResponderExcluircara , vulnerabilidade e limitação é uma constante em tudo os que os humanos criam e se levar em consideração a tua fala o snap é oficialmente o pacote do ubuntu então meio que teu argumento se anula.
ResponderExcluirAmigo não existe um argumento meu ai, isso é uma noticia da "Qualys Security Advisory" empresa especializada em segurança, eles é que vem detectando e mostrando falhas gravíssimas de escalonamento Root nesses pacotes snap. Essa falha permite a um atacante em um servidor Ubuntu ( Muitas empresas usam ) tome poderes de Root e dai em diante poder sobre todo o servidor e dados sensíveis da empresa, ou usuário desktop. Só concordo com um ponto seu, errar é humano, mas não arrumar seus erros tem outro nome.
ResponderExcluir