La vulnerabilidad CVE-2021-3939, de severidad alta con una puntuación de 7.8 afecta al paquete accountsservice de Ubuntu.
La explotación de la vulnerabilidad se debe a una falla de seguridad en la función user_change_language_authorized_cb del archivo debian/patches/0010-set-language.patch, dentro de la cual se manipula el parámetro fallback_locale para generar una corrupción en la memoria y así permitir al atacante provocar la caída o la ejecución de programas con permisos de administrador.
Esta vulnerabilidad podría ser explotada localmente con la autenticación del atacante en el sistema en donde se encuentra instalado el paquete vulnerable.
Las versiones afectadas son todas las de los paquetes anteriores a:
- accountsservice – 0.6.55-0ubuntu14.1 (Ubuntu 21.10).
- libaccountsservice0 – 0.6.55-0ubuntu14.1 (Ubuntu 21.10).
- accountsservice – 0.6.55-0ubuntu13.3 (Ubuntu 21.04)
- libaccountsservice0 – 0.6.55-0ubuntu13.3 (Ubuntu 21.04)
- accountsservice – 0.6.55-0ubuntu12~20.04.5 (Ubuntu 20.04)
- libaccountsservice0 – 0.6.55-0ubuntu12~20.04.5 (Ubuntu 20.04)
Se recomienda actualizar los paquetes accountservice y libaccountsservice0 a las versiones corregidas ofrecidas por Ubuntu aquí.
Referencias: