Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3823-1 eject

Säkerhetsbulletin från Debian

DSA-3823-1 eject -- säkerhetsuppdatering

Rapporterat den:

2017-03-28

Berörda paket:

eject

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 858872.
I Mitres CVE-förteckning: CVE-2017-6964.

Ytterligare information:

Ilja Van Sprundel upptäckte att dmcrypt-get-device-hjälparen som används för att kontrollera om en given enhet är en krypterad enhet som hanteras av devmapper, och används i eject, inte kontrollerar returvärden från setuid() och setgid() när den släpper rättigheter.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.1.5+deb1+cvs20081104-13.1+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.1.5+deb1+cvs20081104-13.2.

Vi rekommenderar att ni uppgraderar era eject-paket.