Debians sikkerhedsbulletin

DSA-4637-1 network-manager-ssh -- sikkerhedsopdatering

Rapporteret den:
9. mar 2020
Berørte pakker:
network-manager-ssh
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-9355.
Yderligere oplysninger:

Kobus van Schoor opdagede at network-manager-ssh, en plugin der giver VPN-integration for SSH i NetworkManager, var sårbar over for en rettighedsforøgelsessårbarhed. En lokal bruger med rettigheder til at ændre en forbindelse, kunne drage nytte af fejlen til at udføre vilkårlige kommandoer som root.

Denne opdatering dropper understøttelse af overførsel af ekstra SSH-valgmuligheder til ssh-kaldet.

I den gamle stabile distribution (stretch), er dette problem rettet i version 1.2.1-1+deb9u1.

I den stabile distribution (buster), er dette problem rettet i version 1.2.10-1+deb10u1.

Vi anbefaler at du opgraderer dine network-manager-ssh-pakker.

For detaljeret sikkerhedsstatus vedrørende network-manager-ssh, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/network-manager-ssh