Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4134-1 util-linux

Aviso de seguridad de Debian

DSA-4134-1 util-linux -- actualización de seguridad

Fecha del informe:

10 de mar de 2018

Paquetes afectados:

util-linux

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 892179.
En el diccionario CVE de Mitre: CVE-2018-7738.

Información adicional:

Bjorn Bosselmann descubrió que la terminación de la orden bash umount de util-linux no gestiona correctamente las órdenes del intérprete de órdenes («shell») embebidas en el nombre del punto de montaje. Un atacante con permisos para montar sistemas de archivos puede aprovechar este defecto para elevar privilegios si engaña a otro usuario (en particular a root) para que realize la terminación de umount mientras está en vigor un mount manipulado de una manera determinada.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2.29.2-1+deb9u1.

Le recomendamos que actualice los paquetes de util-linux.

Para información detallada sobre el estado de seguridad de util-linux consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/util-linux