Bulletin d'alerte Debian

DLA-226-2 ntfs-3g -- Mise à jour de sécurité pour LTS

Date du rapport :
26 mai 2015
Paquets concernés :
ntfs-3g
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3202.
Plus de précisions :

Le correctif appliqué à ntfs-3g pour corriger le CVE-2015-3202 dans la DLA 226-1 était incomplet. Cette mise à jour règle ce problème. À titre de référence, voici le texte de l'annonce originale :

Tavis Ormandy a découvert que NTFS-3G, un pilote de lecture et écriture NTFS pour FUSE, n'effaçait pas l'environnement avant d'exécuter mount ou umount avec des droits élevés. Un utilisateur local peut tirer avantage de ce défaut pour écraser des fichiers arbitraires et gagner des privilèges plus élevés en accédant à des fonctionnalités de débogage à travers l'environnement. Normalement, cela ne devrait pas être sûr pour des utilisateurs sans droits.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1:2010.3.6-1+deb6u2 de ntfs-3g.