Debians sikkerhedsbulletin
DSA-5137-1 needrestart -- sikkerhedsopdatering
- Rapporteret den:
- 17. maj 2022
- Berørte pakker:
- needrestart
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2022-30688.
- Yderligere oplysninger:
-
Jakub Wilk opdagede en lokal rettighedsforøgelse i needrestart, et værktøj til kontrol af hvilke dæmoner, der skal genstartes efter opgraderinger af biblioteker. Regulære udtræk til genkendelse af fortolkerne af Perl, Python og Ruby, var ikke anchored, hvilket gjorde det muligt for en lokal bruger at forøge rettigheder når needrestart forsøgte at afgøre om fortolkerne benyttede gamle kildefiler.
I den gamle stabile distribution (buster), er dette problem rettet i version 3.4-5+deb10u1.
I den stabile distribution (bullseye), er dette problem rettet i version 3.5-4+deb11u1.
Vi anbefaler at du opgraderer dine needrestart-pakker.
For detaljeret sikkerhedsstatus vedrørende needrestart, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/needrestart