Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3823-1 eject

Debians sikkerhedsbulletin

DSA-3823-1 eject -- sikkerhedsopdatering

Rapporteret den:

28. mar 2017

Berørte pakker:

eject

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 858872.
I Mitres CVE-ordbog: CVE-2017-6964.

Yderligere oplysninger:

Ilja Van Sprundel opdagede at hjælperen dmcrypt-get-device, der anvendes til at kontrollere hvorvidt en given enhed er en krypteret enhed, som håndteres af devmapper, og benyttes i eject, ikke kontrollerede returværdier fra setuid() og setgid(), når rettigheder smides væk.

I den stabile distribution (jessie), er dette problem rettet i version 2.1.5+deb1+cvs20081104-13.1+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 2.1.5+deb1+cvs20081104-13.2.

Vi anbefaler at du opgraderer dine eject-pakker.