Debians sikkerhedsbulletin

DSA-4253-1 network-manager-vpnc -- sikkerhedsopdatering

Rapporteret den:
23. jul 2018
Berørte pakker:
network-manager-vpnc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 904255.
I Mitres CVE-ordbog: CVE-2018-10900.
Yderligere oplysninger:

Denis Andzakovic opdagede at network-manager-vpnc, en plugin der leverer VPNC-understøttelse i NetworkManager, var ramt af en sårbarhed i forbindelse med rettighedsforøgelse. Et newline-tegn kunne anvendes til at indsprøjte et Password-hjælperparameter i konfigurationsdataene, der overføres til vpnc, hvilket gjorde det muligt for en lokal bruger med rettigheder til at ændre en systemforbindelse, til at udføre vilkårlige kommandoer som root.

I den stabile distribution (stretch), er dette problem rettet i version 1.2.4-4+deb9u1.

Vi anbefaler at du opgraderer dine network-manager-vpnc-pakker.

For detaljeret sikkerhedsstatus vedrørende network-manager-vpnc, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/network-manager-vpnc