Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3451-1 fuse

Bulletin d'alerte Debian

DSA-3451-1 fuse -- Mise à jour de sécurité

Date du rapport :

20 janvier 2016

Paquets concernés :

fuse

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-1233.

Plus de précisions :

Jann Horn a découvert une vulnérabilité dans le paquet fuse (système de fichiers pour espace utilisateur) de Debian. Le paquet fuse inclut une règle udev définissant les droits du périphérique caractère associé /dev/cuse, le rendant accessible à tous en écriture.

Cela permet à un attaquant local sans droit, de créer un périphérique caractère avec un nom arbitraire dans /dev et de modifier la mémoire de tout processus qui l'ouvre et réalise une opération ioctl sur lui.

Cela pourrait permettre ensuite à un attaquant local sans droit d'augmenter ses droits pour devenir superutilisateur.

Pour la distribution oldstable (Wheezy), le paquet fuse n'est pas affecté.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.9.3-15+deb8u2.

Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 2.9.5-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.9.5-1.

Nous vous recommandons de mettre à jour vos paquets fuse.