Debians sikkerhedsbulletin

DSA-3793-1 shadow -- sikkerhedsopdatering

Rapporteret den:
24. feb 2017
Berørte pakker:
shadow
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 832170, Fejl 855943.
I Mitres CVE-ordbog: CVE-2016-6252, CVE-2017-2616.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i shadow-suiten. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2016-6252

    En heltalsoverløbssårbarhed blev opdaget, som potentielt gjorde det muligt for en lokal bruger for forøge rettigheder gennem fabrikeret inddata til værktøjet newuidmap.

  • CVE-2017-2616

    Tobias Stoeckmann opdagede at su ikke på korrekt vis håndterede tømning af en child-PID. En lokal angriber kunne drage nytte af det, førende til lammelsesangreb (denial of service).

I den stabile distribution (jessie), er disse problemer rettet i version 1:4.2-3+deb8u3.

Vi anbefaler at du opgraderer dine shadow-pakker.