Debians sikkerhedsbulletin
DSA-4428-1 systemd -- sikkerhedsopdatering
- Rapporteret den:
- 8. apr 2019
- Berørte pakker:
- systemd
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2019-3842.
- Yderligere oplysninger:
-
Jann Horn opdagede at PAM-modulet i systemd på usikker vis anvendte miljøet og manglede seat-verifikation, gørende det muligt at forfalske en aktiv session over for PolicyKit. En fjernangriber med SSH-adgang kunne drage nytte af problemet til at få PolicyKit-rettigheder, som normalt kun gives til klienter i en aktiv session på den lokale konsol.
I den stabile distribution (stretch), er dette problem rettet i version 232-25+deb9u11.
Denne opdatering indeholder opdateringer, som var planlagt til at blive udgivet i punktopdatering 9.9 af stretch.
Vi anbefaler at du opgraderer dine systemd-pakker.
For detaljeret sikkerhedsstatus vedrørende systemd, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/systemd