Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3793-1 shadow

Bulletin d'alerte Debian

DSA-3793-1 shadow -- Mise à jour de sécurité

Date du rapport :

24 février 2017

Paquets concernés :

shadow

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 832170, Bogue 855943.
Dans le dictionnaire CVE du Mitre : CVE-2016-6252, CVE-2017-2616.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la suite shadow. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2016-6252

  Une vulnérabilité de dépassement d'entier a été découverte, permettant éventuellement à un utilisateur local d'augmenter ses droits grâce à une entrée contrefaite de l'utilitaire newuidmap.

• CVE-2017-2616

  Tobias Stoeckmann a découvert que su ne gère pas correctement le nettoyage d'un PID fils. Un attaquant local peut tirer avantage de ce défaut pour envoyer des SIGKILL à d'autres processus avec les droits du superutilisateur, avec pour conséquence un déni de service.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:4.2-3+deb8u3.

Nous vous recommandons de mettre à jour vos paquets shadow.