CVE-2022-0987
LowSummary
W PackageKit znaleziono lukę, która dotyczy sposobu, w jaki niektóre metody interfejsu Transaction badają pliki. Problem ten pozwala lokalnemu użytkownikowi na zmierzenie czasu wykonania tych metod i ustalenie, czy plik należący do roota lub innych użytkowników istnieje.
Risk Assessment
Luka ta może prowadzić do ujawnienia informacji o plikach systemowych, co zwiększa ryzyko nieautoryzowanego dostępu do danych wrażliwych. Może to być wykorzystane przez lokalnych użytkowników do eskalacji uprawnień.
Recommendation
Zaleca się aktualizację PackageKit do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, warto ograniczyć dostęp lokalnych użytkowników do systemu, aby zminimalizować ryzyko wykorzystania tej podatności.
Original NVD description (English source)
A flaw was found in PackageKit in the way some of the methods exposed by the Transaction interface examines files. This issue allows a local user to measure the time the methods take to execute and know whether a file owned by root or other users exists.

