LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-28-1 augeas

Bulletin d'alerte Debian

DLA-28-1 augeas -- Mise à jour de sécurité pour LTS

Date du rapport :

1^er août 2014

Paquets concernés :

augeas

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 731111, Bogue 731132.
Dans le dictionnaire CVE du Mitre : CVE-2012-0786, CVE-2012-0787, CVE-2013-6412.

Plus de précisions :

Plusieurs situations de compétition ont été découvertes dans augeas, lors de l’enregistrement de fichiers de configuration, qui exposent à des attaques par lien symbolique. Le droit d’écriture dans le répertoire du fichier de configuration est nécessaire pour l’attaquant.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.7.2-1+deb6u1 de augeas.