Bulletin d'alerte Debian

DLA-2596-1 shadow -- Mise à jour de sécurité pour LTS

Date du rapport :
17 mars 2021
Paquets concernés :
shadow
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 756630, Bogue 914957.
Dans le dictionnaire CVE du Mitre : CVE-2017-12424, CVE-2017-20002.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite d’outils de connexion shadow. Un attaquant peut augmenter ses privilèges dans des configurations particulières.

  • CVE-2017-20002

    Shadow liste de manière incorrecte pts/0 et pts/1 comme des terminaux physiques dans /etc/securetty. Cela permet à des utilisateurs locaux de se connecter comme utilisateurs sans mot de passe s’ils sont connectés par des moyens non matériels tels que SSH (par conséquent en contournant nullok_secure de la configuration PAM). Cela affecte notamment les environnements tels que des machines virtuelles générées automatiquement avec un mot de passe administrateur vierge, permettant à des utilisateurs locaux d’augmenter leurs privilèges. Il est à noter cependant que /etc/securetty sera supprimé dans Debian 11, Bullseye.

  • CVE-2017-12424

    L’outil newusers pourrait être utilisé pour manipuler des structures de données internes d’une matière non souhaitée par les auteurs. Une entrée mal formée peut conduire à des plantages (avec un dépassement de tampon ou une autre corruption de mémoire) ou d’autres comportements non précisés. Cela outrepasse la frontière des privilèges dans, par exemple, certains environnements d’hébergement web avec un panneau de contrôle permettant à un compte utilisateur non privilégié de créer des sous-comptes.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:4.4-4.1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets shadow.

Pour disposer d'un état détaillé sur la sécurité de shadow, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/shadow.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.