Bulletin d'alerte Debian

DSA-2984-1 acpi-support -- Mise à jour de sécurité

Date du rapport :
22 juillet 2014
Paquets concernés :
acpi-support
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-1419.
Plus de précisions :

CESG a découvert un défaut d'augmentation de droits de superutilisateur dans le paquet acpi-support. Un utilisateur normal peut injecter la variable d'environnement DBUS_SESSION_BUS_ADDRESS pour exécuter des commandes arbitraires en tant que superutilisateur grâce au script policy-funcs.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 0.140-5+deb7u1.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 0.142-2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.142-2.

Nous vous recommandons de mettre à jour vos paquets acpi-support.