Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4253-1 network-manager-vpnc

Debians sikkerhedsbulletin

DSA-4253-1 network-manager-vpnc -- sikkerhedsopdatering

Rapporteret den:

23. jul 2018

Berørte pakker:

network-manager-vpnc

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 904255.
I Mitres CVE-ordbog: CVE-2018-10900.

Yderligere oplysninger:

Denis Andzakovic opdagede at network-manager-vpnc, en plugin der leverer VPNC-understøttelse i NetworkManager, var ramt af en sårbarhed i forbindelse med rettighedsforøgelse. Et newline-tegn kunne anvendes til at indsprøjte et Password-hjælperparameter i konfigurationsdataene, der overføres til vpnc, hvilket gjorde det muligt for en lokal bruger med rettigheder til at ændre en systemforbindelse, til at udføre vilkårlige kommandoer som root.

I den stabile distribution (stretch), er dette problem rettet i version 1.2.4-4+deb9u1.

Vi anbefaler at du opgraderer dine network-manager-vpnc-pakker.

For detaljeret sikkerhedsstatus vedrørende network-manager-vpnc, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/network-manager-vpnc