Debians sikkerhedsbulletin

DSA-3780-1 ntfs-3g -- sikkerhedsopdatering

Rapporteret den:
1. feb 2017
Berørte pakker:
ntfs-3g
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-0358.
Yderligere oplysninger:

Jann Horn fra Google Project Zero opdagede at NTFS-3G, en NTFS-driver til FUSE der kan læse- og skrive, ikke skrubbede miljøet før modprobe blev udført med forøgede rettigheder. En lokal bruger kunne drage nytte af fejlen til lokal root-rettighedsforøgelse.

I den stabile distribution (jessie), er dette problem rettet i version 1:2014.2.15AR.2-1+deb8u3.

I den ustabile distribution (sid), er dette problem rettet i version 1:2016.2.22AR.1-4.

Vi anbefaler at du opgraderer dine ntfs-3g-pakker.