Vulnerabilidad en GNOME gnome-desktop (CVE-2019-11460) (CVE-2019-11460)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
22/04/2019
Última modificación:
07/11/2023
Descripción
Un problema fue encontrado en GNOME gnome-desktop versión 3.26, 3.28 y versión 3.30 anterior de la versión 3.30.2.2 y versión 3.32 anterior de la versión 3.32.1.1. Un thumbnailer comprometido pueden escapar del bubblewrap sandbox que se utiliza para confinar miniaturas utilizando el TIOCSTI ioctl para ingresar caracteres en el búfer de entrada del terminal de control del miniaturas, lo que permite que un atacante escape del sandbox si el thumbnailer tiene un terminal de control. Esto es debido a un filtrado incorrecto del TIOCSTI ioctl en sistemas de 64 bits, igual a CVE-2019-10063.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnome:gnome-desktop:*:*:*:*:*:*:*:* | 3.30.0 (incluyendo) | 3.30.2.2 (excluyendo) |
| cpe:2.3:a:gnome:gnome-desktop:*:*:*:*:*:*:*:* | 3.32.0 (incluyendo) | 3.32.1.1 (excluyendo) |
| cpe:2.3:a:gnome:gnome-desktop:3.26.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnome:gnome-desktop:3.28.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00088.html
- https://gitlab.gnome.org/GNOME/gnome-desktop/issues/112
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/V5V6EIUHYR7SNKCRIGYCD3UWNEGFNT2F/
- https://security.gentoo.org/glsa/201908-28
- https://usn.ubuntu.com/3994-1/