Рекомендация Debian по безопасности

DSA-4208-1 procps -- обновление безопасности

Дата сообщения:
22.05.2018
Затронутые пакеты:
procps
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 899170.
В каталоге Mitre CVE: CVE-2018-1122, CVE-2018-1123, CVE-2018-1124, CVE-2018-1125, CVE-2018-1126.
Более подробная информация:

Сотрудники Qualys Research Labs обнаружили многочисленные уязвимости в procps, наборе утилит командной строки для просмотра procfs. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2018-1122

    Утилита top читает свои настройки из текущего рабочего каталога в том случае, если не настроена переменная $HOME. Если top запустить из каталога, для которого у злоумышленника имеются права на запись (например, /tmp), то это приведёт к локальному повышению привилегий.

  • CVE-2018-1123

    Отказ в обслуживании при вызове ps другим пользователем.

  • CVE-2018-1124

    Переполнение целых чисел в функции file2strvec() из libprocps может приводить к локальному повышению привилегий.

  • CVE-2018-1125

    Переполнение буфера в pgrep может приводить к отказу в обслуживании для пользователя, использующего pgrep для просмотра специально сформированных процессов.

  • CVE-2018-1126

    Некорректные параметры размера целых чисел, используемые в обёртках стандартны функций языка C для выделения памяти, могут вызывать усечение целых чисел и приводить к переполнениям целых чисел.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 2:3.3.9-9+deb8u1.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2:3.3.12-3+deb9u1.

Рекомендуется обновить пакеты procps.

С подробным статусом поддержки безопасности procps можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/procps