Debians sikkerhedsbulletin

DSA-2382-1 ecryptfs-utils -- flere sårbarheder

Rapporteret den:

7. jan 2012

Berørte pakker:

ecryptfs-utils

Sårbar:

Referencer i sikkerhedsdatabaser:

Yderligere oplysninger:

Flere problemer er opdaget i eCryptfs, et kryptografisk filsystem til Linux.

CVE-2011-1831
Vasiliy Kulikov fra Openwall og Dan Rosenberg opdagede, at eCryptfs på ukorrekt vis validerede rettigheder hørende til det ønskede mountpoint. En lokal angriber kunne udnytte fejlen til at mounte på vilkårlige steder, førende til rettighedsforøgelse.
CVE-2011-1832
Vasiliy Kulikov fra Openwall og Dan Rosenberg opdagede, at eCryptfs på ukorrekt vis validerede rettigheder hørende til det ønskede mountpoint. En lokal angriber kunne udnytte fejlen til at unmounte på vilkårlige steder, førende til et lammelsesangreb (denial of service).
CVE-2011-1834
Dan Rosenberg og Marc Deslauriers opdagede, at eCryptfs på ukorrekt vis håndterede ændringer til mtab-filen, når der opstod en fejl. En lokal angriber kunne udnytte fejlen til at ødelægge mtab-filen, samt muligvis unmounte på vilkårlige steder, førende til et lammelsesangreb.
CVE-2011-1835
Marc Deslauriers opdagede, at eCryptfs på ukorrekt vis håndterede nøgler, når der blev opsat en krypteret, privat mappe. En lokal angriber kunne udnytte fejlen til at manipulere nøgler under oprettelsen af en ny bruger.
CVE-2011-1837
Vasiliy Kulikov fra Openwall opdagede, at eCryptfs på ukorrekt vis håndterede lock-tællere. En lokal angriber kunne udnytte fejlen til muligvis at overskrive vilkårlige filer.

Vi takker Ubuntu-distributionen for deres arbejde med at klargøre rettelser, som næsten uden videre kunne anvendes i Debian-pakken.

I den gamle stabile distribution (lenny), er disse problemer rettet i version 68-1+lenny1.

I den stabile distribution (squeeze), er disse problemer rettet i version 83-4+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 95-1.

Vi anbefaler at du opgraderer dine ecryptfs-utils-pakker.