一、漏洞详情

Snap是适用于桌面、云和物联网的应用程序包，可自动更新、易于安装、安全、跨平台且无依赖性。它们每天都在数百万个Linux系统上使用，在Ubuntu系统上默认安装，该漏洞主要影响主流的Ubuntu系统。

Snapd本地权限提升漏洞(CVE-2022-3328)：该漏洞是由于受影响版本的Snapd存在竞争条件漏洞，当用户创建私有快照时，非特权攻击者可以结合multipath授权绕过漏洞(CVE-2022-41974)和multipath符号链接攻击漏洞(CVE-2022-41973)将/tmp目录绑定到文件系统中的任意目录，进而将普通用户权限提升至ROOT权限。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

2.54.3 <= snapd < 2.57.6

Ubuntu：2.54.3+ubuntu <= snapd < 2.57.5+ubuntu

三、修复建议

目前Snap官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载链接：https://github.com/snapcore/snapd/releases/tag/2.57.6