Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2319-1 policykit-1

Bulletin d'alerte Debian

DSA-2319-1 policykit-1 -- Situation de compétition

Date du rapport :

8 octobre 2011

Paquets concernés :

policykit-1

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 644500.
Dans le dictionnaire CVE du Mitre : CVE-2011-1485.

Plus de précisions :

Neel Mehta a découvert qu'une situation de compétition dans Policykit, une structure pour gérer les stratégies d'administration et les privilèges, permettait aux utilisateurs locaux d'augmenter leurs droits en exécutant un programme setuid de pkexec.

La distribution oldstable (Lenny) ne contient pas le paquet policykit-1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.96-4+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.101-4.

Nous vous recommandons de mettre à jour vos paquets policykit-1.