Bulletin d'alerte Debian

DLA-1069-1 tenshi -- Mise à jour de sécurité pour LTS

Date du rapport :
27 août 2017
Paquets concernés :
tenshi
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 871321.
Dans le dictionnaire CVE du Mitre : CVE-2017-11746.
Plus de précisions :

Tenshi crée un fichier tenshi.pid après avoir abaissé les privilèges à ceux d’un compte non administrateur. Cela pourrait permettre à des utilisateurs locaux de tuer des processus arbitraires en exploitant l’accès à ce compte non administrateur pour une modification de tenshi.pid avant qu’un script administrateur exécute une commande « kill `cat /pathname/tenshi.pid` ».

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.13-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets tenshi.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.