Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3451-1 fuse

Säkerhetsbulletin från Debian

DSA-3451-1 fuse -- säkerhetsuppdatering

Rapporterat den:

2016-01-20

Berörda paket:

fuse

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2016-1233.

Ytterligare information:

Jann Horn upptäckte en sårbarhet i fusepaketet (Filesystem in Userspace) i Debian. Fusepaketet skeppar en udev-regel som ändrar rättigheter i den relaterade /dev/cuse-teckenenheten, och gör den skrivbar av världen.

Detta tillåter en lokal, opriviligierad angripare att skapa en godtyckligt namngiven teckenenhet i /dev och modifiera minnet i alla processer som öppnar och utför ioctl på den.

Detta i sin tur kan tillåta en lokal, opriviligierad angripare att öka till rooträttigheter.

För den gamla stabila utgåvan (Wheezy) påverkas inte fusepaketet.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.9.3-15+deb8u2.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 2.9.5-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.9.5-1.

Vi rekommenderar att ni uppgraderar era fuse-paket.