Säkerhetsbulletin från Debian

DSA-4253-1 network-manager-vpnc -- säkerhetsuppdatering

Rapporterat den:
2018-07-23
Berörda paket:
network-manager-vpnc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 904255.
I Mitres CVE-förteckning: CVE-2018-10900.
Ytterligare information:

Denis Andzakovic upptäckte att network-manager-vpnc, en insticksmodul för att tillhandahålla VPNC-stöd i NetworkManager, är sårbar för en rättighetseskalering. En nyradstecken kan användas för att injicera en Password-hjälparparameter i konfigurationsdata som skickats till vpnc, vilket tillåter en lokal användare med rättigheter att modifiera en systemanslutning att exekvera godtyckliga kommandon som root.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.2.4-4+deb9u1.

Vi rekommenderar att ni uppgraderar era network-manager-vpnc-paket.

För detaljerad säkerhetsstatus om network-manager-vpnc vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/network-manager-vpnc