Информация по безопасности / 2019 / Информация о безопасности -- DSA-4428-1 systemd

Рекомендация Debian по безопасности

DSA-4428-1 systemd -- обновление безопасности

Дата сообщения:

08.04.2019

Затронутые пакеты:

systemd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2019-3842.

Более подробная информация:

Ян Хорн обнаружил, что PAM-модуль в systemd небезопасно использует окружение и не имеет проверки локальных пользователей, что позволяет подделывать активную сессию в PolicyKit. Удалённый злоумышленник, имеющий SSH-доступ, может использовать эту уязвимость для получения прав PolicyKit, которые обычно даются только клиентам в активной сессии на локальной консоли.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 232-25+deb9u11.

Данное обновление включает в себя обновления, ранее запланированные к выпуску в составе редакции 9.9 выпуска stretch.

Рекомендуется обновить пакеты systemd.

С подробным статусом поддержки безопасности systemd можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/systemd