Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5213-1 schroot

Bulletin d'alerte Debian

DSA-5213-1 schroot -- Mise à jour de sécurité

Date du rapport :

18 août 2022

Paquets concernés :

schroot

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-2787.

Plus de précisions :

Julian Gilbey a découvert que schroot, un outil permettant aux utilisateurs d'exécuter des commandes dans un chroot (environnement fermé d'exécution), a des règles trop permissives sur le nom des chroots ou des sessions, permettant un déni de service sur le service schroot pour tous les utilisateurs qui peuvent lancer une session schroot.

Veuillez noter que les chroots et sessions existants sont vérifiés pendant la mise à niveau et que la mise à niveau est interrompue si un nom futur non valable est détecté.

Les chroots et sessions problématiques peuvent être vérifiés avant la mise à niveau avec la commande suivante :

schroot --list --all | LC_ALL=C grep -vE '^[a-z]+:[a-zA-Z0-9][a-zA-Z0-9_.-]*$'

Consultez https://codeberg.org/shelter/reschroot/src/tag/release/reschroot-1.6.13/NEWS#L10-L41 pour des instructions permettant de résoudre ce type de situation.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 1.6.10-12+deb11u1.

Nous vous recommandons de mettre à jour vos paquets schroot.

Pour disposer d'un état détaillé sur la sécurité de schroot, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/schroot.