Información sobre seguridad / 2019 / Información sobre seguridad -- DSA-4428-1 systemd

Aviso de seguridad de Debian

DSA-4428-1 systemd -- actualización de seguridad

Fecha del informe:

8 de abr de 2019

Paquetes afectados:

systemd

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2019-3842.

Información adicional:

Jann Horn descubrió que el módulo PAM de systemd usa el entorno de forma no segura y carece de verificación de máquina, permitiendo la suplantación de una sesión activa con PolicyKit. Un atacante remoto con acceso SSH puede aprovechar este defecto para obtener privilegios PolicyKit que, normalmente, son solo otorgados a clientes con una sesión activa en la consola local.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 232-25+deb9u11.

Esta actualización incluye modificaciones cuya publicación estaba inicialmente programada para la versión 9.9 de stretch.

Le recomendamos que actualice los paquetes de systemd.

Para información detallada sobre el estado de seguridad de systemd, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/systemd