Debians sikkerhedsbulletin
DSA-4208-1 procps -- sikkerhedsopdatering
- Rapporteret den:
- 22. maj 2018
- Berørte pakker:
- procps
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 899170.
I Mitres CVE-ordbog: CVE-2018-1122, CVE-2018-1123, CVE-2018-1124, CVE-2018-1125, CVE-2018-1126. - Yderligere oplysninger:
-
Qualys Research Labs opdagede adskillige sårbarheder i procps, et sæt kommandolinje- og fuldskærmsværktøjer til at gennemse procfs med. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2018-1122
top læste sin opsætning fra den aktuelle arbejdsmappe, hvis der ikke er opsat en $HOME. Hvis top blev startet fra en mappe, som er skrivbar for en angriber (så som /tmp), kunne det medføre lokal rettighedsforøgelse.
- CVE-2018-1123
Lammelsesangreb mod kald af en anden brugers ps.
- CVE-2018-1124
Et heltalsoverløb i funktionen file2strvec() i libprocps, kunne medføre lokal rettighedsforøgelse.
- CVE-2018-1125
Et stakbaseret bufferoverløb i pgrep, kunne medføre lammelsesangreb for en bruger, der anvender pgrep til at inspicere en særligt fremstillet proces.
- CVE-2018-1126
Ukorrekte heltalsstørrelsesparametre, anvendt i wrappere til standard-C-allokatorer, kunne medføre heltalstrunkering, samt føre til heltalsoverløbsproblemer.
I den gamle stabile distribution (jessie), er disse problemer rettet i version 2:3.3.9-9+deb8u1.
I den stabile distribution (stretch), er disse problemer rettet i version 2:3.3.12-3+deb9u1.
Vi anbefaler at du opgraderer dine procps-pakker.
For detaljeret sikkerhedsstatus vedrørende procps, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/procps
- CVE-2018-1122