Bulletin d'alerte Debian

DLA-238-1 fuse -- Mise à jour de sécurité pour LTS

Date du rapport :
7 juin 2015
Paquets concernés :
fuse
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3202.
Plus de précisions :

Tavis Ormandy a découvert que FUSE, un système de fichiers pour espace utilisateur, n'effaçait pas l'environnement avant d'exécuter mount ou umount avec des droits élevés. Un utilisateur local peut tirer avantage de ce défaut pour écraser des fichiers arbitraires et gagner des privilèges plus élevés en accédant à des fonctionnalités de débogage à travers l'environnement, cela ne devrait pas normalement être sans danger pour des utilisateurs sans droits.

Pour la distribution old-oldstable (squeeze-lts), ce problème a été corrigé dans la version 2.8.4-1.1+deb6u1.

Nous vous recommandons de mettre à jour vos paquets fuse.