Информация по безопасности / 2016 / Информация о безопасности -- DSA-3450-1 ecryptfs-utils

Рекомендация Debian по безопасности

DSA-3450-1 ecryptfs-utils -- обновление безопасности

Дата сообщения:

20.01.2016

Затронутые пакеты:

ecryptfs-utils

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-1572.

Более подробная информация:

Ян Хорн обнаружил, что вспомогательная утилита mount.ecryptfs_private, имеющая флаг прав доступа, позволяющий запускать её от лица суперпользователя, из состава ecryptfs-utils выполняет монтирование в любой целевой каталог, владельцем которого является пользователь, включая каталог в procfs. Локальный злоумышленник может использовать эту уязвимость для повышения привилегий.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 99-1+deb7u1.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 103-5+deb8u1.

Рекомендуется обновить пакеты ecryptfs-utils.