Bulletin d'alerte Debian

DSA-4257-1 fuse -- Mise à jour de sécurité

Date du rapport :
28 juillet 2018
Paquets concernés :
fuse
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 904439.
Dans le dictionnaire CVE du Mitre : CVE-2018-10906.
Plus de précisions :

Jann Horn a découvert que FUSE, un système de fichiers en espace utilisateur, permet le contournement des restrictions user_allow_other lorsque SELinux est actif (y compris en mode « permissive »). Un utilisateur local peut tirer avantage de ce défaut dans l'utilitaire fusermount pour contourner la configuration du système et monter un système de fichiers FUSE avec l'option de montage allow_other.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.9.7-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets fuse.

Pour disposer d'un état détaillé sur la sécurité de fuse, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/fuse.