Bulletin d'alerte Debian

DLA-397-1 ecryptfs-utils -- Mise à jour de sécurité pour LTS

Date du rapport :
20 janvier 2016
Paquets concernés :
ecryptfs-utils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-1572.
Plus de précisions :

Jann Horn a découvert que l'assistant mount.ecryptfs_private de setuid-root dans ecryptfs-utils pouvait monter n'importe quel répertoire appartenant à l'utilisateur, y compris un répertoire dans procfs. Un attaquant local pourrait utiliser ce défaut pour augmenter ses droits.