Qualys hat in kwetsberens (CVE-2026-3888) identifisearre yn 'e wurking fan' e snap-confine- en systemd-tmpfiles-bondel yn ... Ubuntu, wêrtroch in net-privileezjeare brûker root-tagong ta it systeem krije kin. It probleem manifestearret him yn Ubuntu yn 'e standertkonfiguraasje sûnt release 24.04. Ubuntu 16.04-22.04 kin de kwetsberens eksploitearre wurde yn net-standert konfiguraasjes dy't it gedrach fan nijere ferzjes fan 'e distribúsje imitearje. Ubuntu In de snapd-pakketupdate fan juster is in oplossing beskikber. Yn snapd is it probleem oplost yn update 2.75.
De kwetsberens ûntstiet troch in ferkearde ynteraksje tusken de hulpprogramma's snap-confine en systemd-tmpfiles, dy't beide mei ferhege privileezjes rinne. Snap-confine makket in sandbox-omjouwing foar it útfieren fan in snap-applikaasje, wylst systemd-tmpfiles automatysk tydlike bestannen en mappen opskjinmakket. Standert is systemd-tmpfiles konfigurearre om alle âlde bestannen en mappen yn /tmp te wiskjen, dy't troch in oanfaller brûkt wurde kinne om de map /tmp/.snap te ferfangen nei't it wiske is troch systemd-tmpfiles, mar foardat it opnij makke is troch snap-confine.
De oanfal bestiet út it wachtsjen oant it proses begjint mei it skjinmeitsjen fan tydlike bestannen, it ferfangen fan de map /tmp/.snap nei't dy wiske is, en it pleatsen fan in oanpaste kopy fan 'e bibleteken /tmp/.snap/usr/lib/x86_64-linux-gnu.exchange. De oanfaller moat miskien ferskate dagen wachtsje oant systemd-tmpfiles begjint, om't Ubuntu Op 24.04 april rint it opskjinproses elke 10 dagen, en yn nijere releases elke 30 dagen. Nei it spoofen fan 'e map inisjalisearret de oanfaller in nije sandbox-omjouwing mei snap-confine.
Wylst de sandbox-omjouwingslading boud wurdt yn 'e tydlike map /tmp/.snap, wachtet de oanfaller op it juste momint en feroaret de namme fan /tmp/.snap/usr/lib/x86_64-linux-gnu.exchange nei /tmp/.snap/usr/lib/x86_64-linux-gnu, wêrtroch't de bibleteken ferfongen wurde en har bind-mounting mei root-privileezjes garandearre wurdt. Dit jout de oanfaller kontrôle oer de dielde bibleteken en de ld.so-loader dy't rint yn 'e snap sandbox-omjouwing en lit har ta om willekeurige koade mei root-privileezjes út te fieren troch elk suid-programma út te fieren dat dynamyske keppeling brûkt.
Mei root-tagong yn in sandbox-omjouwing isolearre troch AppArmor en in seccomp-basearre systeemopropfilter, kin in oanfaller /bin/bash kopiearje nei de /var/snap/$SNAP/common/ map en de tagongsrjochten ynstelle op "04755" (suid root). Sels as de tagongsrjochten binnen de sandbox-omjouwing feroare wurde, is it bestân mei de feroare tagongsrjochten ek tagonklik op it hostsysteem. Om folsleine root-tagong te krijen, fier dêrom gewoan /var/snap/<snap_package_name>/common/bash út as in gewoane, net-privileezjeare brûker fanút de standert systeemomjouwing.
In kwetsberens waard ek ûntdutsen yn 'e uutils coreutils (Rust Coreutils) toolkit, in Rust-basearre ekwivalint fan it GNU Coreutils-pakket. De kwetsberens lit in net-privileezjeare brûker root-rjochten krije op it systeem. It probleem waard ûntdutsen tidens it resinsjeproses. Ubuntu 25.10 en reparearre troch in tydlike oplossing foar de release Ubuntu 25.10 fia de distribúsje fan /usr/bin/gnurm ynstee fan uutils rm. It probleem waard oplost yn it uutils-pakket yn 'e release fan uutils coreutils 0.3.0, sûnder de kwetsberensreparaasje yn it changelog te neamen (der waard opmurken dat rm, du, chmod, en chgrp in feilige paadtraversalmetoade ymplementearren).
It probleem wurdt feroarsake troch in race-tastân yn it "rm"-hulpprogramma, wêrtroch in lokale brûker de ynhâld fan in map kin ferfange troch in symboalyske keppeling by it wiskjen fan in brûker-kontroleare bestân mei it "rm"-proses mei root-privileezjes. De kwetsberens kin ûnder oare eksploitearre wurde troch it /etc/cron.daily/apport-skript deistich út te fieren fanút cron. Dit skript, útfierd mei root-privileezjes, wisket rekursyf de ynhâld fan 'e /var/crash-map, dy't troch alle brûkers op it systeem skriuwber is.
By it rekursyf wiskjen fan mappen scant it rm-hulpprogramma earst alle mappen en wisket se dan sekwinsjeel yn omkearde folchoarder troch de rmdir()-funksje op te roppen. As in âldermap direkt nei it scannen fan dy map, mar foardat de ûndermappen scannen wurde, ferfongen wurdt troch in symboalyske keppeling, sil de operaasje resultearje yn it wiskjen fan 'e map dêr't de symboalyske keppeling nei ferwiist. Dit makket net allinich it wiskjen fan in triem op it systeem mooglik, mar ek it fergrutsjen fan privileezjes troch de map /tmp/snap-private-tmp/$SNAP/tmp/.snap te wiskjen om de ynhâld fan 'e sandbox-omjouwing fan it snap-pakket te ferfangen (de metoade foar it krijen fan root is fergelykber mei de earste kwetsberens).
Boarne: opennet.ru
