Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3451-1 fuse

Debians sikkerhedsbulletin

DSA-3451-1 fuse -- sikkerhedsopdatering

Rapporteret den:

20. jan 2016

Berørte pakker:

fuse

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-1233.

Yderligere oplysninger:

Jann Horn opdagede en sårbarhed i pakken fuse (Filesystem in Userspace) i Debian. Pakken fuse leveres med en udev-regel, der tilpasser rettighederne på de relaterede /dev/cuse-tegnenheder, hvilket gør dem skrivbare for alle.

Dermed har en lokal, upriviligeret angriber mulighed for at oprette en vilkårligt navngivet tegnenhed i /dev samt ændre på hukommelsen hørende til enhver proces, som åbner enheden og udfører en ioctl på den.

Herefter giver det en lokal, upriviligeret angriber mulighed for at få root-rettigheder.

I den gamle stabile distribution (wheezy), er fuse-pakken ikke påvirket.

I den stabile distribution (jessie), er dette problem rettet i version 2.9.3-15+deb8u2.

I distributionen testing (stretch), er dette problem rettet i version 2.9.5-1.

I den ustabile distribution (sid), er dette problem rettet i version 2.9.5-1.

Vi anbefaler at du opgraderer dine fuse-pakker.