Vulnerabilidad en Canonical Apport (CVE-2025-5054)

La condición de ejecución en Canonical Apport (hasta la versión 2.32.0 incluida) permite a un atacante local filtrar información confidencial mediante la reutilización de PID aprovechando los espacios de nombres. Al gestionar un fallo, la función `_check_global_pid_and_forward`, que detecta si el proceso causante del fallo reside en un contenedor, se invocaba antes que `consistency_checks`, que intenta detectar si el proceso causante del fallo ha sido reemplazado. Por ello, si un proceso falla y se reemplaza rápidamente por uno contenedorizado, se podía ejecutar `apport` para reenviar el volcado de memoria al contenedor, lo que podría filtrar información confidencial. `consistency_checks` ahora se invoca antes que `_check_global_pid_and_forward`. Además, dado que la condición de ejecución de reutilización de PID no se puede detectar de forma fiable solo desde el espacio de usuario, los fallos solo se reenvían a los contenedores si el núcleo proporcionó un pidfd o si el proceso causante del fallo no tenía privilegios (es decir, si el modo de volcado es 1).