1. 漏洞概述
2022年12月7日,监测到Snapd 本地权限提升漏洞的漏洞细节在互联网公开,漏洞编号为CVE-2022-3328,漏洞威胁等级:高危。
2. 漏洞详情
该程序在Ubuntu系统上默认安装,该漏洞主要影响主流的Ubuntu系统。
该漏洞存在于snap-confine 的 must_mkdir_and_open_with_perms()中,是一个条件竞争漏洞,非特权用户可以结合另外两个统称为Leeloo Multipath的漏洞(CVE-2022-41974:multipath授权绕过漏洞 和 CVE-2022-41973:multipath符号链接漏洞)将 /tmp 目录绑定到文件系统中的任意目录,进而将普通用户权限提升至ROOT权限。
3. 影响版本
2.54.3 ≤ Snapd < 2.57.6
命令行输入“snap version”查看当前Snapd版本
4. 处置建议
修复方案
1.可根据系统版本使用yum 或 apt进行升级
如:apt install snapd
2.目前该漏洞已经修复,受影响用户可以升级到以下版本
下载链接:
尽快更新至对应的安全版本:
https://github.com/snapcore/snapd/releases/tag/2.57.6
中共烟台市委网络安全和信息化
委员会办公室
2022年12月7日
