Bulletin d'alerte Debian

DSA-4253-1 network-manager-vpnc -- Mise à jour de sécurité

Date du rapport :
23 juillet 2018
Paquets concernés :
network-manager-vpnc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 904255.
Dans le dictionnaire CVE du Mitre : CVE-2018-10900.
Plus de précisions :

Denis Andzakovic a découvert que network-manager-vpnc, un greffon qui fournit la prise en charge de VPNC à NetworkManager, est prédisposé à une vulnérabilité d'augmentation de droits. Un caractère de changement de ligne peut être utilisé pour injecter un paramètre d'assistant de mot de passe dans les données de configuration passées à vpnc, permettant à un utilisateur local, doté des droits pour modifier une connexion système, d'exécuter des commandes arbitraires en tant que superutilisateur.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.2.4-4+deb9u1.

Nous vous recommandons de mettre à jour vos paquets network-manager-vpnc.

Pour disposer d'un état détaillé sur la sécurité de network-manager-vpnc, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/network-manager-vpnc.