В приложении Timeshift выявлена уязвимость (CVE-2020-10174), позволяющая локальному пользователю выполнить код с правами root. Timeshift представляет собой систему резервного копирования, использующую rsync с установкой жёстких ссылок или снапшоты Btrfs для реализации функциональности, похожей на System Restore в Windows и Time Machine в macOS. Программа входит в репозитории многих дистрибутивов и применяется по умолчанию в PCLinuxOS и Linux Mint. Уязвимость устранена в выпуске Timeshift 20.03.
Проблема вызвана некорректной работой с общедоступным каталогом /tmp. Во время создания резервной копии программа создаёт каталог /tmp/timeshift, в котором создаётся подкаталог со случайным именем, содержащий shell-сценарий с командами, запускаемый с правами root. Подкаталог со сценарием имеет непредсказуемое имя, но сам /tmp/timeshift предсказуем и не проверяется на подмену или создание вместо него символической ссылки. Атакующий может от своего имени создать каталог /tmp/timeshift, после чего отследить появление подкаталога и подменить этот подкаталог и файл в нём. В процессе работы Timeshift выполнит с правами root не сгенерированный программой сценарий, а файл, подменённый атакующим.
|