{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Snap (auch bekannt als Snappy) ist ein Softwareverteilungssystem und eine Paketverwaltung für Linux.\r\nUbuntu Linux ist die Linux Distribution des Herstellers Canonical.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein lokaler Angreifer kann eine Schwachstelle in Canonical Snap und Ubuntu Linux ausnutzen, um seine Privilegien zu erhöhen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Linux", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2022-2224 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2224.json" }, { "category" : "self", "summary" : "WID-SEC-2022-2224 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2224" }, { "category" : "external", "summary" : "Qualys Security Advisory CVE-2022-3328 vom 2022-11-30", "url" : "https://www.qualys.com/2022/11/30/cve-2022-3328/advisory-snap.txt" }, { "category" : "external", "summary" : "Ubuntu Security Notice USN-5753-1 vom 2022-12-01", "url" : "https://ubuntu.com/security/notices/USN-5753-1" }, { "category" : "external", "summary" : "Ubuntu Security Notice USN-5753-1", "url" : "https://ubuntu.com/security/notices/USN-5753-1" } ], "source_lang" : "en-US", "title" : "Canonical Snap: Schwachstelle ermöglicht Privilegieneskalation", "tracking" : { "current_release_date" : "2024-01-08T23:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:39:09.200+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2022-2224", "initial_release_date" : "2022-12-04T23:00:00.000+00:00", "revision_history" : [ { "date" : "2022-12-04T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2024-01-08T23:00:00.000+00:00", "number" : "2", "summary" : "Neue Updates von Ubuntu aufgenommen" } ], "status" : "final", "version" : "2" } }, "product_tree" : { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Canonical Snap", "product" : { "name" : "Canonical Snap", "product_id" : "1137107", "product_identification_helper" : { "cpe" : "cpe:/a:canonical:snapd:-" } } } ], "category" : "vendor", "name" : "Canonical" }, { "branches" : [ { "category" : "product_name", "name" : "Ubuntu Linux", "product" : { "name" : "Ubuntu Linux", "product_id" : "T000126", "product_identification_helper" : { "cpe" : "cpe:/o:canonical:ubuntu_linux:-" } } } ], "category" : "vendor", "name" : "Ubuntu" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2022-3328", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in Canonical Snap, wie es zum Beispiel in Ubuntu Linux verwendet wird. Sie ist auf eine Race-Condition in der \"snap-confine\"-Binärdatei zurückzuführen, wenn der /tmp-Einhängepunkt für eine \"snappy application\" vorbereitet wird. Ein lokaler Angreifer kann dies ausnutzen, um seine Privilegien zu erweitern und beliebigen Code auszuführen. In Kombination mit zwei älteren Schwachstellen in Linux Systemen kann der Angreifer volle Root-Rechte erlangen." } ], "product_status" : { "known_affected" : [ "1137107", "T000126" ] }, "release_date" : "2022-12-04T23:00:00.000+00:00", "title" : "CVE-2022-3328" } ] }