Linux snapdにルート権限昇格バグ=Dirty Sock(CVE-2019-7304) | 見よう見まねのブログ

見よう見まねのブログ

CameraやPCなど、見よう見まねの悪戦苦闘

2016年はLinuxにDirty Cowと言うルート権限昇格の脆弱性が話題となりましたが、今度はDirty Sockです。

Dirty Sock vulnerability lets attackers gain root access on Linux systems
After Dirty COW caused headaches in 2016, now Linux sysadmins have to worry about Dirty Sock.

https://www.zdnet.com/article/dirty-sock-vulnerability-lets-attackers-gain-root-access-on-linux-systems/

 

snapdアプリの脆弱性なのでUbuntu特有のバグと思いきや、Debian, Arch, OpenSUSIE、Solus, Fedoraも対策アップデートが必要とのこと。

Other Linux distros that use Snapd also shipped security updates, such as Debian, Arch Linux, OpenSUSE, Solus, and Fedora.

 

Ununtuは2019-02-12付でアップデート済み。

USN-3887-1: snapd vulnerability 12 February 2019

https://usn.ubuntu.com/3887-1/

CVE-2019-7304

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-7304.html

 

Debianは、Strechは影響を受けず。Busterとsid用に修正済み。

CVE-2019-7304

https://security-tracker.debian.org/tracker/CVE-2019-7304

snapd    source    (unstable)    2.37.1-1            
snapd    source    stretch    (not affected)

 

snapdについてwikiで調べて見ました。

https://ja.wikipedia.org/wiki/Snappy

https://en.wikipedia.org/wiki/Snappy_(package_manager)

snapdを使えば、いろんなLinuxで共通利用できるメリットがあるそうです。

snapd is also available or in progress for Arch Linux, CentOS, Debian, Fedora, Gentoo Linux, Solus, Manjaro Linux, Linux Mint, OpenEmbedded, Raspbian, OpenWrt and openSUSE.

 

でも、謳い文句「Snapでパッケージングされたアプリケーションはパッケージ内で完結しているため、依存関係が問題になることはなく、安全性も高い」に反し、ルート権限昇格バグ(Dirty Sock)があったとは。。。バグの無いアプリは存在しない、が哲理ですね。

 

今までsnapdアプリを使った経験はありませんが、Debianでも利用可能なので少し試して見ようかな?でも、アプリの数は未だ少ないみたい。

https://docs.snapcraft.io/installing-snap-on-debian/6742

Installing snap on Debian
On Debian 9 (Stretch), snap can be installed directly from the command line:
$ sudo apt update
$ sudo apt install snapd

 

各種Linuxでのsnapd利用方法は以下に紹介あり。

How to Install and Use Snap in Various Linux Distributions

https://itsfoss.com/install-snap-linux/

With different Linux distributions running different package managers and formats, there is no single way of installing an application in every Linux distribution the same way.

Snap can be the solution to this problem, over-coming the installation issues (like a missing library) and making sure you are running the latest version!

 

絶対の安全無き世どれ選ぶ