Bulletin d'alerte Debian

DSA-3793-1 shadow -- Mise à jour de sécurité

Date du rapport :
24 février 2017
Paquets concernés :
shadow
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 832170, Bogue 855943.
Dans le dictionnaire CVE du Mitre : CVE-2016-6252, CVE-2017-2616.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite shadow. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-6252

    Une vulnérabilité de dépassement d'entier a été découverte, permettant éventuellement à un utilisateur local d'augmenter ses droits grâce à une entrée contrefaite de l'utilitaire newuidmap.

  • CVE-2017-2616

    Tobias Stoeckmann a découvert que su ne gère pas correctement le nettoyage d'un PID fils. Un attaquant local peut tirer avantage de ce défaut pour envoyer des SIGKILL à d'autres processus avec les droits du superutilisateur, avec pour conséquence un déni de service.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:4.2-3+deb8u3.

Nous vous recommandons de mettre à jour vos paquets shadow.