LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-1002-1 smb4k

Bulletin d'alerte Debian

DLA-1002-1 smb4k -- Mise à jour de sécurité pour LTS

Date du rapport :

25 juin 2017

Paquets concernés :

smb4k

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 862505.
Dans le dictionnaire CVE du Mitre : CVE-2017-8849.

Plus de précisions :

Sebastian Krahmer de SUSE a découvert que smb4k, un navigateur moderne de partages Samba (SMB), contient un défaut de logique dans lequel le binaire d’assistant de montage ne vérifie pas correctement la commande mount dont l’exécution est demandée.

Cela permet des utilisateurs locaux d’appeler n’importe quel autre binaire comme superutilisateur.

Le problème est résolu en rétroportant la version 1.2.1-2 de Debian 9 Stretch.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.2.1-2~deb7u1.

Nous vous recommandons de mettre à jour vos paquets smb4k.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.