Säkerhetsbulletin från Debian

DSA-3793-1 shadow -- säkerhetsuppdatering

Rapporterat den:
2017-02-24
Berörda paket:
shadow
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 832170, Fel 855943.
I Mitres CVE-förteckning: CVE-2016-6252, CVE-2017-2616.
Ytterligare information:

Flera sårbarheter har upptäckts i shadow-uppsättningen. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2016-6252

    Ett heltalsspillssårbarhet har upptäckts, som potentiellt tillåter en lokal användare att öka rättigheter via skapad indata till verktyget newuidmap.

  • CVE-2017-2616

    Tobias Stoeckmann upptäckte att su inte hanterar rensning av en child-PID ordentligt. En lokal angripare kan dra fördel av denna brist för att skicka SIGKILL till andra processer med rooträttigheter, vilket resulterar i överbelastning.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:4.2-3+deb8u3.

Vi rekommenderar att ni uppgraderar era shadow-paket.