Bulletin d'alerte Debian
DLA-1390-1 procps -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 31 mai 2018
- Paquets concernés :
- procps
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-1122, CVE-2018-1123, CVE-2018-1124, CVE-2018-1125, CVE-2018-1126.
- Plus de précisions :
-
Le Qualys Research Labs a découvert plusieurs vulnérabilités dans procps, un ensemble d’utilitaires en ligne de commande et en mode plein écran pour parcourir procfs. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.
- CVE-2018-1122
top lisait sa configuration à partir du répertoire de travail courant si aucun $HOME n'était configuré. Si top était lancé à partir d'un répertoire accessible en écriture par l'attaquant (tel que /tmp), cela pouvait avoir pour conséquence une augmentation de droits locale.
- CVE-2018-1123
Un déni de service à l'encontre de l'invocation de ps par un autre utilisateur.
- CVE-2018-1124
Un dépassement d'entier dans la fonction file2strvec() de libprocps pourrait avoir pour conséquence une augmentation de droits locale.
- CVE-2018-1125
Un dépassement de pile dans pgrep pourrait avoir pour conséquence un déni de service pour un utilisateur se servant de pgrep pour inspecter un processus contrefait pour l'occasion.
- CVE-2018-1126
Des paramètres incorrects de taille d'entier utilisés dans des enveloppes pour des allocateurs C standard pourraient provoquer une troncature d'entier et mener à des problèmes de dépassement d'entier.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 1:3.3.3.3+deb7u1.Nous vous recommandons de mettre à jour vos paquets procps.
L’équipe LTS de Debian souhaite remercier Abhijith PA pour la préparation de cette mise à jour.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2018-1122