Bulletin d'alerte Debian

DSA-4637-1 network-manager-ssh -- Mise à jour de sécurité

Date du rapport :
9 mars 2020
Paquets concernés :
network-manager-ssh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-9355.
Plus de précisions :

Kobus van Schoor a découvert que network-manager-ssh, un greffon pour fournir l'intégration de VPN pour SSH dans NetworkManager, est prédisposé à une vulnérabilité d'élévation de privilèges. Un utilisateur local doté des droits pour modifier une connexion peut tirer avantage de ce défaut pour exécuter des commandes arbitraires en tant que superutilisateur.

Cette mise à jour supprime la prise en charge du passage d'options supplémentaires de SSH à l'invocation de ssh.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 1.2.1-1+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.2.10-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets network-manager-ssh.

Pour disposer d'un état détaillé sur la sécurité de network-manager-ssh, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/network-manager-ssh.