Bulletin d'alerte Debian

DLA-468-1 libuser -- Mise à jour de sécurité pour LTS

Date du rapport :
12 mai 2016
Paquets concernés :
libuser
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 793465.
Dans le dictionnaire CVE du Mitre : CVE-2015-3245, CVE-2015-3246.
Plus de précisions :

Deux vulnérabilités de sécurité ont été découvertes dans libuser, une bibliothèque qui implémente une interface standardisée pour manipuler et administrer les comptes d'utilisateurs et de groupes, qui pourraient conduire à un déni de service ou à une élévation de privilèges par des utilisateurs locaux.

  • CVE-2015-3245

    Une vulnérabilité de liste noire incomplète dans la fonction chfn dans libuser avant 0.56.13-8 et 0.60 avant 0.60-7, tel qu'utilisé dans le programme userhelper dans le paquet usermode, permet à des utilisateurs locaux de provoquer un déni de service (corruption de /etc/passwd) à l'aide d'un caractère de changement de ligne dans le champ GECOS.

  • CVE-2015-3246

    libuser avant 0.56.13-8 et 0.60 avant 0.60-7, tel qu'utilisé dans le programme userhelper dans le paquet usermode, modifie directement /etc/passwd. Cela permet à des utilisateurs locaux de provoquer un déni de service (état de fichier inconsistant) en provoquant une erreur durant la modification. ATTENTION : ce problème peut être combiné au CVE-2015-3245 pour obtenir des privilèges.

En complément, le paquet usermode, qui dépend de libuser, a été reconstruit avec la version mise à jour.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans

libuser 1:0.56.9.dfsg.1-1.2+deb7u1 et usermode  1.109-1+deb7u2

Nous vous recommandons de mettre à jour vos paquets libuser et usermode.