Рекомендация Debian по безопасности

DSA-4253-1 network-manager-vpnc -- обновление безопасности

Дата сообщения:
23.07.2018
Затронутые пакеты:
network-manager-vpnc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 904255.
В каталоге Mitre CVE: CVE-2018-10900.
Более подробная информация:

Дениш Андзаковиц обнаружил, что network-manager-vpnc, дополнение, предоставляющее поддержку VPNC для NetworkManager, уязвимо к повышению привилегий. Символ новой строки может использоваться для ввода параметра вспомогательной утилиты Password в настройки, передаваемые vpnc, что позволяет локальному пользователю, имеющему соответствующие права на изменение системного соединения, выполнять произвольные команды от лица суперпользователя.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 1.2.4-4+deb9u1.

Рекомендуется обновить пакеты network-manager-vpnc.

С подробным статусом поддержки безопасности network-manager-vpnc можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/network-manager-vpnc