Bulletin d'alerte Debian
DLA-3383-1 grunt -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 5 avril 2023
- Paquets concernés :
- grunt
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2022-1537.
- Plus de précisions :
-
Il a été découvert qu’il existait une élévation potentielle locale des privilèges dans GruntJS, un outil générique d’exécution de tâches et un système de construction.
Les opérations
file.copydans GruntJS étaient vulnérables à une situation de compétition TOCTOU (time-of-check vs. time-of-use
) qui pouvait amener à des écritures arbitraires de fichiers dans des dépôts de GitHub. Cela pouvait conduire à une élévation locale des privilèges si un utilisateur moins privilégié avait un accès en écriture à la fois aux répertoires source et destination, car celui-ci pouvait avoir créé un lien symbolique vers le fichier de configuration~/.bashrcde l’utilisateur de GruntJS (etc.).- CVE-2022-1537
Les opérations
file.copydans GruntJS étaient vulnérables à une situation de compétition TOCTOU qui pouvait amener à des écritures arbitraires de fichiers dans des dépôts de GitHub gruntjs/grunt avant la version 1.5.3. Cette vulnérabilité permettait des écritures arbitraires de fichiers pouvant amener à une élévation locale des privilèges de l’utilisateur de GruntJS si un utilisateur moins privilégié avait un accès en écriture à la fois aux répertoires source et destination, car celui-ci pouvait avoir créé un lien symbolique vers le fichier de configuration~/.bashrcde l’utilisateur de GruntJS ou remplacé le fichier /etc/shadow si l’utilisateur de GruntJS était le superutilisateur.
Pour Debian 10
Buster
, ce problème a été corrigé dans la version 1.0.1-8+deb10u2.Nous vous recommandons de mettre à jour vos paquets grunt.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2022-1537