CVE-2022-0987
NiskieStreszczenie
W PackageKit znaleziono lukę, która dotyczy sposobu, w jaki niektóre metody interfejsu Transaction badają pliki. Problem ten pozwala lokalnemu użytkownikowi na zmierzenie czasu wykonania tych metod i ustalenie, czy plik należący do roota lub innych użytkowników istnieje.
Ocena ryzyka
Luka ta może prowadzić do ujawnienia informacji o plikach systemowych, co zwiększa ryzyko nieautoryzowanego dostępu do danych wrażliwych. Może to być wykorzystane przez lokalnych użytkowników do eskalacji uprawnień.
Rekomendacja
Zaleca się aktualizację PackageKit do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, warto ograniczyć dostęp lokalnych użytkowników do systemu, aby zminimalizować ryzyko wykorzystania tej podatności.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in PackageKit in the way some of the methods exposed by the Transaction interface examines files. This issue allows a local user to measure the time the methods take to execute and know whether a file owned by root or other users exists.

