Sikkerhedsoplysninger / 2022 / Sikkerhedsoplysninger -- DSA-5137-1 needrestart

Debians sikkerhedsbulletin

DSA-5137-1 needrestart -- sikkerhedsopdatering

Rapporteret den:

17. maj 2022

Berørte pakker:

needrestart

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2022-30688.

Yderligere oplysninger:

Jakub Wilk opdagede en lokal rettighedsforøgelse i needrestart, et værktøj til kontrol af hvilke dæmoner, der skal genstartes efter opgraderinger af biblioteker. Regulære udtræk til genkendelse af fortolkerne af Perl, Python og Ruby, var ikke anchored, hvilket gjorde det muligt for en lokal bruger at forøge rettigheder når needrestart forsøgte at afgøre om fortolkerne benyttede gamle kildefiler.

I den gamle stabile distribution (buster), er dette problem rettet i version 3.4-5+deb10u1.

I den stabile distribution (bullseye), er dette problem rettet i version 3.5-4+deb11u1.

Vi anbefaler at du opgraderer dine needrestart-pakker.

For detaljeret sikkerhedsstatus vedrørende needrestart, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/needrestart