Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3266-1 fuse

Säkerhetsbulletin från Debian

DSA-3266-1 fuse -- säkerhetsuppdatering

Rapporterat den:

2015-05-21

Berörda paket:

fuse

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 786439.
I Mitres CVE-förteckning: CVE-2015-3202.

Ytterligare information:

Tavis Ormandy upptäckte att FUSE, Filesystem in USErspace, inte rengör miljön före den kör mount eller umount med utökade rättigheter. En lokal användare kan utnyttja denna brist för att skriva över godtyckliga filer och få utökade rättigheter genom att komma åt avlusningsfunktionalitet via miljön som inte hade varit säker för icke priviligierade användare i normala fall.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 2.9.0-2+deb7u2.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.9.3-15+deb8u1.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era fuse-paket.