Säkerhetsbulletin från Debian
DSA-4428-1 systemd -- säkerhetsuppdatering
- Rapporterat den:
- 2019-04-08
- Berörda paket:
- systemd
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2019-3842.
- Ytterligare information:
-
Jann Horn upptäckte att PAM-modulen i systemd använder miljön osäkert och saknar sätesverifiering vilket tillåter att en aktiv session till PolicyKit förfalskas. En fjärrangripare med SSH-åtkomst kan dra fördel av denna brist för att få PolicyKit-rättigheter som normalt endast ges till klienter i en aktiv session på lokala konsolen.
För den stabila utgåvan (Stretch) har detta problem rättats i version 232-25+deb9u11.
Denna uppdatering inkluderar uppdateringar som tidigare schemalagts för att inkluderas i punktutgåvan Stretch 9.9.
Vi rekommenderar att ni uppgraderar era systemd-paket.
För detaljerad säkerhetsstatus om systemd vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/systemd