Bulletin d'alerte Debian
DSA-3450-1 ecryptfs-utils -- Mise à jour de sécurité
- Date du rapport :
- 20 janvier 2016
- Paquets concernés :
- ecryptfs-utils
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2016-1572.
- Plus de précisions :
-
Jann Horn a découvert que l'assistant mount.ecryptfs_private de setuid-root dans ecryptfs-utils pouvait monter n'importe quel répertoire appartenant à l'utilisateur, y compris un répertoire dans procfs. Un attaquant local pourrait utiliser ce défaut pour augmenter ses droits.
Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 99-1+deb7u1.
Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 103-5+deb8u1.
Nous vous recommandons de mettre à jour vos paquets ecryptfs-utils.