Katalog CVE

CVE-2022-0987

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W PackageKit znaleziono lukę, która dotyczy sposobu, w jaki niektóre metody interfejsu Transaction badają pliki. Problem ten pozwala lokalnemu użytkownikowi na zmierzenie czasu wykonania tych metod i ustalenie, czy plik należący do roota lub innych użytkowników istnieje.

Ocena ryzyka

Luka ta może prowadzić do ujawnienia informacji o plikach systemowych, co zwiększa ryzyko nieautoryzowanego dostępu do danych wrażliwych. Może to być wykorzystane przez lokalnych użytkowników do eskalacji uprawnień.

Rekomendacja

Zaleca się aktualizację PackageKit do najnowszej wersji, aby usunąć tę lukę. Dodatkowo, warto ograniczyć dostęp lokalnych użytkowników do systemu, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in PackageKit in the way some of the methods exposed by the Transaction interface examines files. This issue allows a local user to measure the time the methods take to execute and know whether a file owned by root or other users exists.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS