Vulnerabilidad en Zincati (CVE-2025-27512)

Zincati es un agente de actualización automática para hosts Fedora CoreOS. Zincati incluye una regla de polkit que permite al usuario del sistema `zincati` usar las acciones `org.projectatomic.rpmostree1.deploy` para implementar actualizaciones en el sistema y `org.projectatomic.rpmostree1.finalize-deployment` para reiniciar el sistema con la actualización implementada. Desde Zincati v0.0.24, esta regla de polkit contiene un error lógico que amplía el acceso a estas acciones de polkit a cualquier usuario sin privilegios, en lugar de solo al usuario del sistema `zincati`. En la práctica, esto significa que cualquier usuario sin privilegios con acceso al socket D-Bus del sistema puede implementar versiones anteriores de Fedora CoreOS (que pueden tener otras vulnerabilidades conocidas). Tenga en cuenta que rpm-ostree exige que la versión seleccionada sea de la misma rama en la que se encuentra el sistema, por lo que no se puede usar directamente para implementar un payload de actualización controlado por un atacante. Esto afecta principalmente a los usuarios que ejecutan cargas de trabajo no confiables con acceso al socket D-Bus del sistema. Tenga en cuenta que, en general, no se debe otorgar este acceso a las cargas de trabajo no confiables, estén o no en contenedores. De forma predeterminada, los contenedores no tienen acceso al socket D-Bus del sistema. El error lógico se corrigió en Zincati v0.0.30. Un workaround es agregar manualmente la siguiente regla de polkit, cuyas instrucciones están disponibles en GitHub Security Advisory.