Canonical snapd cloud-init 权限许可和访问控制问题漏洞

CNNVD-ID编号	CNNVD-202007-1157
CVE编号	CVE-2020-11933
发布时间	2020-07-15
更新时间	2020-08-06
漏洞类型	权限许可和访问控制问题
漏洞来源	N/A
危险等级	中危
威胁类型	N/A
厂商	N/A

漏洞介绍

Canonical snapd是英国科能（Canonical）公司的一套软件部署和包管理系统。cloud-init是其中的一个主要用于实现对CVM实例初始化操作的组件。

Canonical snapd（Ubuntu Core 16版本和Ubuntu Core 18版本）中的cloud-init存在权限许可和访问控制问题漏洞。攻击者可借助cloud-init用户数据/元数据利用该漏洞在设备上执行任意更改，绕过安全机制。

漏洞补丁

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://snapcraft.io/

参考网址

来源:CONFIRM

链接：https://ubuntu.com/USN-4424-1
来源:CONFIRM

链接：https://launchpad.net/bugs/1879530
来源:vigilance.fr

链接：https://vigilance.fr/vulnerability/snapd-privilege-escalation-via-cloud-init-user-data-meta-data-32843
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.2415/
来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2020-11933

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1157

行业资讯-文章归档问答-问答归档