Информация по безопасности / 2018 / Информация о безопасности -- DSA-4208-1 procps

Рекомендация Debian по безопасности

DSA-4208-1 procps -- обновление безопасности

Дата сообщения:

22.05.2018

Затронутые пакеты:

procps

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 899170.
В каталоге Mitre CVE: CVE-2018-1122, CVE-2018-1123, CVE-2018-1124, CVE-2018-1125, CVE-2018-1126.

Более подробная информация:

Сотрудники Qualys Research Labs обнаружили многочисленные уязвимости в procps, наборе утилит командной строки для просмотра procfs. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2018-1122

  Утилита top читает свои настройки из текущего рабочего каталога в том случае, если не настроена переменная $HOME. Если top запустить из каталога, для которого у злоумышленника имеются права на запись (например, /tmp), то это приведёт к локальному повышению привилегий.

• CVE-2018-1123

  Отказ в обслуживании при вызове ps другим пользователем.

• CVE-2018-1124

  Переполнение целых чисел в функции file2strvec() из libprocps может приводить к локальному повышению привилегий.

• CVE-2018-1125

  Переполнение буфера в pgrep может приводить к отказу в обслуживании для пользователя, использующего pgrep для просмотра специально сформированных процессов.

• CVE-2018-1126

  Некорректные параметры размера целых чисел, используемые в обёртках стандартных функций языка C для выделения памяти, могут вызывать усечение целых чисел и приводить к переполнениям целых чисел.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 2:3.3.9-9+deb8u1.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2:3.3.12-3+deb9u1.

Рекомендуется обновить пакеты procps.

С подробным статусом поддержки безопасности procps можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/procps