Aviso de seguridad de Debian

DSA-4637-1 network-manager-ssh -- actualización de seguridad

Fecha del informe:
9 de mar de 2020
Paquetes afectados:
network-manager-ssh
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2020-9355.
Información adicional:

Kobus van Schoor descubrió que network-manager-ssh, una extensión («plugin») para proporcionar a NetworkManager integración VPN mediante SSH, es propensa a una vulnerabilidad de elevación de privilegios. Un usuario local con privilegios para modificar una conexión puede aprovecharse de este defecto para ejecutar órdenes arbitrarias como root.

Esta actualización elimina el soporte para incluir opciones extra de SSH en la llamada a ssh.

Para la distribución «antigua estable» (stretch), este problema se ha corregido en la versión 1.2.1-1+deb9u1.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 1.2.10-1+deb10u1.

Le recomendamos que actualice los paquetes de network-manager-ssh.

Para información detallada sobre el estado de seguridad de network-manager-ssh, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/network-manager-ssh