Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4134-1 util-linux

Säkerhetsbulletin från Debian

DSA-4134-1 util-linux -- säkerhetsuppdatering

Rapporterat den:

2018-03-10

Berörda paket:

util-linux

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 892179.
I Mitres CVE-förteckning: CVE-2018-7738.

Ytterligare information:

Bjorn Bosselmann upptäckte att bash-komplettering för umount från util-linux inte hanterar inbäddade skalkommandon i monteringspunktsnamn ordentligt. En angripare med rättigheter att montera filsystem kan dra fördel av denna brist för utökning av privilegier om en användare (speciellt root) luras till att använda umount-kompletteringen medans en speciellt skapad monteringspunkt finns tillgänglig.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2.29.2-1+deb9u1.

Vi rekommenderar att ni uppgraderar era util-linux-paket.

För detaljerad säkerhetsstatus om util-linux vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/util-linux