Долгосрочная поддержка Debian / Информация о безопасности LTS / 2020 / Информация о безопасности -- DLA-2253-1 lynis

Рекомендация Debian по безопасности

DLA-2253-1 lynis -- обновление безопасности LTS

Дата сообщения:

21.06.2020

Затронутые пакеты:

lynis

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2019-13033.

Более подробная информация:

Было обнаружено, что в lynis, инструменте аудита безопасности, имеется уязвимость. Лицензионный ключ может быть получен путём обычного просмотра списка процессов при выполнении загрузки данных.

• CVE-2019-13033

  В CISOfy Lynis с версий 2.x до версии 2.7.5 лицензионный ключ можно получить, просматривая список процессов при загрузке данных. Этот ключ может использоваться для загрузки данных на центральный сервер Lynis. Хотя данные могут быть распакованы только с помощью лицензионного ключа, можно загрузить данные дополнительного сканирования.

В Debian 8 Jessie эти проблемы были исправлены в версии 1.6.3-1+deb8u1.

Рекомендуется обновить пакеты lynis.

Дополнительную информацию о рекомендациях по безопасности Debian LTS, о том, как применять эти обновления к вашей системе, а также ответы на часто задаваемые вопросы можно найти по адресу: https://wiki.debian.org/LTS