Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3266-1 fuse

Debians sikkerhedsbulletin

DSA-3266-1 fuse -- sikkerhedsopdatering

Rapporteret den:

21. maj 2015

Berørte pakker:

fuse

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 786439.
I Mitres CVE-ordbog: CVE-2015-3202.

Yderligere oplysninger:

Tavis Ormandy opdagede at FUSE, et filsystem i brugerrummet, ikke tømte miljøet før mount og unmount blev udført med forøgede rettigheder. En lokal bruger kunne udnytte fejlen til at overskrive vilkårlig filer samt få forøgede rettigheder, ved at tilgå debuggingfunktionalitet gennem miljøet, som det normalt ikke er en god ide at give upriviligerede brugere adgang til.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 2.9.0-2+deb7u2.

I den stabile distribution (jessie), er dette problem rettet i version 2.9.3-15+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine fuse-pakker.