Säkerhetsbulletin från Debian
DSA-3793-1 shadow -- säkerhetsuppdatering
- Rapporterat den:
- 2017-02-24
- Berörda paket:
- shadow
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 832170, Fel 855943.
I Mitres CVE-förteckning: CVE-2016-6252, CVE-2017-2616. - Ytterligare information:
-
Flera sårbarheter har upptäckts i shadow-uppsättningen. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2016-6252
Ett heltalsspillssårbarhet har upptäckts, som potentiellt tillåter en lokal användare att öka rättigheter via skapad indata till verktyget newuidmap.
- CVE-2017-2616
Tobias Stoeckmann upptäckte att su inte hanterar rensning av en child-PID ordentligt. En lokal angripare kan dra fördel av denna brist för att skicka SIGKILL till andra processer med rooträttigheter, vilket resulterar i överbelastning.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:4.2-3+deb8u3.
Vi rekommenderar att ni uppgraderar era shadow-paket.
- CVE-2016-6252