Bulletin d'alerte Debian

DLA-2163-1 tinyproxy -- Mise à jour de sécurité pour LTS

Date du rapport :
31 mars 2020
Paquets concernés :
tinyproxy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 870307, Bogue 948283.
Dans le dictionnaire CVE du Mitre : CVE-2017-11747.
Plus de précisions :

Un problème mineur de sécurité et un bogue sévère d’empaquetage ont été corrigés dans tinyproxy, un démon léger de mandataire HTTP.

  • CVE-2017-11747

    main.c dans Tinyproxy créait un fichier /var/run/tinyproxy/tinyproxy.pid en baissant les privilèges à ceux d’un compte non superutilisateur. Cela pouvait permettre à des utilisateurs locaux de tuer des processus arbitraires en exploitant l'accès à ce compte non superutilisateur pour modifier tinyproxy.pid avant qu’un script de superutilisateur exécute une commande kill `cat /run/tinyproxy/tinyproxy.pid`.

  • Autre problème

    Un défaut grave a été découvert par Tim Duesterhus dans le script init de Debian pour tinyproxy. Avec un fichier de configuration tiny.conf dont l’option PidFile est supprimée, la prochaine exécution de logrotate (si installé) pouvait modifier le propriétaire du répertoire de base du système (« / ») à tinyproxy:tinyproxy.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.8.3-3+deb8u1.

Nous vous recommandons de mettre à jour vos paquets mandataire tin.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.