Säkerhetsbulletin från Debian
DSA-4257-1 fuse -- säkerhetsuppdatering
- Rapporterat den:
- 2018-07-28
- Berörda paket:
- fuse
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 904439.
I Mitres CVE-förteckning: CVE-2018-10906. - Ytterligare information:
-
Jann Horn upptäckte att FUSE, ett filsystem i användarrymden (FileSystem in USErspace), tillåter förbigång av restriktionen
user_allow_other
när SELinux är aktivt (inklusive i tillåtande läge). En lokal användare kan dra fördel av denna brist i verktyget fusermount för att förbigå systemkonfigurationen och montera FUSE-filsystemet med monteringsalternativetallow_other
.För den stabila utgåvan (Stretch) har detta problem rättats i version 2.9.7-1+deb9u1.
Vi rekommenderar att ni uppgraderar era fuse-paket.
För detaljerad säkerhetsstatus om fuse vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/fuse