De multiples vulnérabilités de sécurité ont été découvertes dans le système de packaging et de déploiement de logiciels Snap de Canonical, dont la plus critique peut être exploitée pour une escalade de privilèges afin d'obtenir des privilèges root.

Les Snaps sont des paquets d'applications autonomes conçus pour fonctionner sur les systèmes d'exploitation qui utilisent le noyau Linux et peuvent être installés à l'aide d'un outil appelé snapd.

Repéré sous le nom de CVE-2021-44731, le problème concerne une faille d'élévation de privilèges dans la fonction snap-confine, un programme utilisé en interne par snapd pour construire l'environnement d'exécution des applications snap. La faille est notée 7.8 dans le système de notation CVSS.

"L'exploitation réussie de cette vulnérabilité permet à tout utilisateur non privilégié d'obtenir les privilèges root sur l'hôte vulnérable", a déclaré Bharat Jogi, directeur de la recherche sur les vulnérabilités et les menaces chez Qualys.

Qualys a également souligné que, bien que la faille ne soit pas exploitable à distance, un attaquant qui s'est connecté en tant qu'utilisateur non privilégié peut "rapidement" exploiter le bogue pour obtenir des droits d'accès à la racine, ce qui nécessite que les correctifs soient appliqués dès que possible pour atténuer les menaces potentielles.