Bulletin d'alerte Debian

DLA-1827-1 gvfs -- Mise à jour de sécurité pour LTS

Date du rapport :
19 juin 2019
Paquets concernés :
gvfs
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 930376.
Dans le dictionnaire CVE du Mitre : CVE-2019-12795.
Plus de précisions :

Simon McVittie a découvert un défaut dans gvfs, le système de fichiers virtuel de Gnome. Le démon gvfsd ouvrait une socket privée D-Bus sans configurer de règle d’autorisation. Un attaquant local pouvait se connecter sur cette socket de serveur et émettre des appels de méthodes D-Bus.

(Remarquez que la socket de serveur accepte seulement une seule connexion, aussi l’attaquant doit découvrir le serveur et se connecter à la socket avant que son propriétaire ne le fasse.)

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.22.2-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets gvfs.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.