Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4428-1 systemd

Bulletin d'alerte Debian

DSA-4428-1 systemd -- Mise à jour de sécurité

Date du rapport :

8 avril 2019

Paquets concernés :

systemd

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-3842.

Plus de précisions :

Jann Horn a découvert que le module PAM dans systemd n'utilise pas de façon sûre l'environnement et manque de vérification de station de travail (« seat ») permettant d'usurper une session active de PolicyKit. Un attaquant distant avec un accès SSH peut tirer avantage de ce problème pour obtenir les droits de PolicyKit qui sont normalement accordés seulement aux clients dans une session active sur la console locale.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 232-25+deb9u11.

Cette mise à jour fournit aussi des mises à jour qui étaient à l'origine prévues pour la prochaine mise à jour mineure de Stretch 9.9.

Nous vous recommandons de mettre à jour vos paquets systemd.

Pour disposer d'un état détaillé sur la sécurité de systemd, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/systemd.