Debians sikkerhedsbulletin

DSA-3268-1 ntfs-3g -- sikkerhedsopdatering

Rapporteret den:
22. maj 2015
Berørte pakker:
ntfs-3g
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 786475.
I Mitres CVE-ordbog: CVE-2015-3202.
Yderligere oplysninger:

Tavis Ormandy opdagede at NTFS-3G, en NTFS-driver til FUSE som understøtter læsning og skrivning, ikke tømte miljøet før mount og unmount blev udført med forøgede rettigheder. En lokal bruger kunne udnytte fejlen til at overskrive vilkårlig filer samt få forøgede rettigheder, ved at tilgå debuggingfunktionalitet gennem miljøet, som det normalt ikke er en god ide at give upriviligerede brugere adgang til.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 1:2012.1.15AR.5-2.1+deb7u1. Bemærk at problemet ikke påvirker de binære pakker, som distribueres af Debian i wheezy, da ntfs-3g ikke anvender det indlejrede fuse-lite-bibliotek.

I den stabile distribution (jessie), er dette problem rettet i version 1:2014.2.15AR.2-1+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine ntfs-3g-pakker.