检测

iracleLinux 7flatpak-1.0.9-13.0.1.el7.AXS7 (AXSA:2024-8901:07)

critical Nessus 插件 ID 293224

语言:

简介

远程iraclelinux 主机缺少安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2024-8901:07 公告中提及的漏洞的影响。

 * CVE-2024-42472访问使用持久性目录的应用的沙盒之外的文件 CVE
 CVE-2024-42472 Flatpak 是一个 Linux 应用程序沙盒和分发框架。在 1.14.0 和 1.15.10 之前版本中,使用持久目录的恶意或遭入侵的 Flatpak 应用程序可以访问和写入其原本没有访问权的文件,这是对应用程序完整性和机密性的攻击。
 当应用程序权限中使用了“persistent=subdir”(在命令行界面中表示为“--persist=subdir”)时,原本无权访问实际用户主目录的应用程序将看到一个空的主目录,其中带有可写子目录“subdir”。在后台,此目录实际是一个绑定挂载,数据以 `~/.var/app/$APPID/subdir` 形式存储在每个应用程序的目录中。这使得不知道每个应用程序目录的现有应用仍可在没有一般主目录访问权限的情况下按预期运作。不过,应用程序确实对存储此目录的应用程序目录“~/.var/app/$APPID”具有写入访问权。如果将“persistent`/`--persist”选项的源目录替换为符号链接,则下次启动应用程序时,绑定挂载将遵循该符号链接,并将其指向的任何内容挂载至沙盒中。使用提交 ceec2ffc 和 98f79773 中的补丁对 Flatpak 进行修补,可以提供针对此漏洞的部分保护。但是,这会造成争用条件,并行运行的恶意 app 的两个实例可能会利用此争用条件。如要解决争用条件,需要更新或修补 Flatpak 用来添加新的“--bind-fd” 选项的 bubblewrap 版本,方法是使用补丁来修补 Flatpak 以使用它。如果已在构建时使用“-Dsystem_bubblewrap=bwrap”(1.15.x) 或“--with-system-bubblewrap=bwrap”(1.14.x 或更早版本)或类似选项来配置 Flatpak,则需要修补的 bubblewrap 版本为单独分发的系统副本,通常为“/usr/bin/bwrap”。Linux 发行版本通常使用此配置。如果在构建时已使用“-Dsystem_bubblewrap=” (1.15.x) 或“--without-system-bubblewrap”(1.14.x 或更早版本)配置 Flatpak,则必须修补 Flatpak 中随附的 bubblewrap 版本。这通常安装为“/usr/libexec/flatpak-bwrap”。
 此配置是从源代码进行构建时的默认配置。对于 1.14.x 稳定分支,这些更改包含在 Flatpak 1.14.10 中。此版本中随附的 bubblewrap 版本已更新至 0.6.3。对于 1.15.x 开发分支,这些更改包含在 Flatpak 1.15.10 中。
 此版本中随附的 bubblewrap 版本是 Meson wrap 子项目,已更新至 0.10.0。1.12.x 和 1.10.x 分支不会有针对此漏洞的更新。长期支持的操作系统发行版本应将各变更向后移植到其 Flatpak 和 bubblewrap 版本中,如果稳定性策略允许,应更新为更高版本。解决方法是避免使用拥有“持久性”(`--persist`) 权限的应用程序。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/20085

插件详情

严重性: Critical

ID: 293224

文件名: miracle_linux_AXSA-2024-8901.nasl

版本: 1.1

类型: local

发布时间: 2026/1/20

最近更新时间: 2026/1/20

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.1

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 9.4

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 分数来源: CVE-2024-42472

CVSS v3

风险因素: Critical

基本分数: 10

时间分数: 9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:flatpak-devel, p-cpe:/a:miracle:linux:flatpak-libs, p-cpe:/a:miracle:linux:flatpak, p-cpe:/a:miracle:linux:flatpak-builder

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/10/16

漏洞发布日期: 2024/8/15

参考资料信息

CVE: CVE-2024-42472