Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3268-1 ntfs-3g

Säkerhetsbulletin från Debian

DSA-3268-1 ntfs-3g -- säkerhetsuppdatering

Rapporterat den:

2015-05-22

Berörda paket:

ntfs-3g

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 786475.
I Mitres CVE-förteckning: CVE-2015-3202.

Ytterligare information:

Tavis Ormandy upptäckte att NTFS-3G, en NTFS-drivrutin för läsning och skrivning för FUSE, inte rengör miljön innan den kör mount eller umount med utökade rättigheter. En lokal användare kan dra fördel av denna brist för att skriva över godtyckliga filer och få utökade rättigheter genom att komma åt avlusningsfunktioner via miljön som inte normalt vore säkert för icke priviligierade användare.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1:2012.1.15AR.5-2.1+deb7u1. Notera att detta problem inte påverkar de binära paketen som distribueras i Debian i Wheezy eftersom ntfs-3g inte användar det inbäddade biblioteket fuse-lite.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1:2014.2.15AR.2-1+deb8u1.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era ntfs-3g-paket.