Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5137-1 needrestart

Bulletin d'alerte Debian

DSA-5137-1 needrestart -- Mise à jour de sécurité

Date du rapport :

17 mai 2022

Paquets concernés :

needrestart

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-30688.

Plus de précisions :

Jakub Wilk a découvert une élévation locale de privilèges dans needrestart, un utilitaire pour vérifier quels démons ont besoin d'être redémarrés après les mises à niveau de bibliothèques. Les expressions rationnelles pour détecter les interpréteurs Perl, Python et Ruby ne sont pas ancrées, permettant à un utilisateur local d'élever ses privilèges lorsque needrestart tente de détecter si les interpréteurs utilisent d'anciens fichiers source.

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 3.4-5+deb10u1.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 3.5-4+deb11u1.

Nous vous recommandons de mettre à jour vos paquets needrestart.

Pour disposer d'un état détaillé sur la sécurité de needrestart, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/needrestart.