LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1644-1 policykit-1

Bulletin d'alerte Debian

DLA-1644-1 policykit-1 -- Mise à jour de sécurité pour LTS

Date du rapport :

28 janvier 2019

Paquets concernés :

policykit-1

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-19788, CVE-2019-6133.

Plus de précisions :

Deux vulnérabilités ont été trouvées dans Policykit, un cadriciel pour gérer la politique d'administration et les privilèges.

• CVE-2018-19788

  Un traitement incorrect de très hauts UID dans Policykit pourrait résulter dans un contournement d’authentification.

• CVE-2019-6133

  Jann Horn de Google a trouvé que Policykit ne vérifie pas correctement si un processus est déjà authentifié. Cela peut conduire à une réutilisation d’authentification par un utilisateur différent.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.105-15~deb8u4.

Nous vous recommandons de mettre à jour vos paquets policykit-1.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.