Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4134-1 util-linux

Bulletin d'alerte Debian

DSA-4134-1 util-linux -- Mise à jour de sécurité

Date du rapport :

10 mars 2018

Paquets concernés :

util-linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 892179.
Dans le dictionnaire CVE du Mitre : CVE-2018-7738.

Plus de précisions :

Bjorn Bosselmann a découvert que la complétion de bash d'umount d'util-linux ne gère pas correctement des commandes de l'interpréteur incorporées dans un nom de point de montage. Un attaquant doté des droits pour monter des systèmes de fichiers peut tirer avantage de ce défaut pour une augmentation de droits si un utilisateur (en particulier le superutilisateur) est piégé dans l'utilisation de la complétion d'umount alors qu'un montage contrefait pour l'occasion est présent.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.29.2-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets util-linux.

Pour disposer d'un état détaillé sur la sécurité de util-linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/util-linux