Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2382-1 ecryptfs-utils

Bulletin d'alerte Debian

DSA-2382-1 ecryptfs-utils -- Plusieurs vulnérabilités

Date du rapport :

7 janvier 2012

Paquets concernés :

ecryptfs-utils

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1831, CVE-2011-1832, CVE-2011-1834, CVE-2011-1835, CVE-2011-1837, CVE-2011-3145.

Plus de précisions :

Plusieurs problèmes ont été découverts dans eCryptfs, un système de fichiers chiffré pour Linux.

• CVE-2011-1831

  Vasiliy Kulikov d'Openwall et Dan Rosenberg ont découvert qu'eCryptfs valide de façon incorrecte les droits sur les points de montage demandés. Un attaquant local pourrait utiliser ce défaut pour monter des emplacements arbitraires, avec pour conséquence une augmentation de droits.

• CVE-2011-1832

  Vasiliy Kulikov d'Openwall et Dan Rosenberg ont découvert qu'eCryptfs valide de façon incorrecte les droits sur les points de montage demandés. Un attaquant local pourrait utiliser ce défaut pour monter des emplacements arbitraires, avec pour conséquence un déni de service.

• CVE-2011-1834

  Dan Rosenberg et Marc Deslauriers ont découvert qu'eCryptfs traite de façon incorrecte les modifications du fichier mtab en cas de problème. Un attaquant local pourrait utiliser ce défaut pour corrompre le fichier mtab, et éventuellement démonter des emplacements arbitraires, avec pour conséquence un déni de service.

• CVE-2011-1835

  Marc Deslauriers a découvert qu'eCryptfs traite de façon incorrecte les clefs lors de la configuration de répertoire privé chiffré. Un attaquant local pourrait utiliser ce défaut pour manipuler des clefs lors de la création d'un nouvel utilisateur.

• CVE-2011-1837

  Vasiliy Kulikov d'Openwall a découvert qu'eCryptfs traite de façon incorrecte les compteurs de verrou. Un attaquant local pourrait utiliser ce défaut pour écraser éventuellement des fichiers arbitraires.

Nous reconnaissons le travail de la distribution Ubuntu dans la préparation de correctifs convenables pour inclusion presque directe dans le paquet Debian.

Pour la distribution oldstable (Lenny), ces problèmes ont été corrigés dans la version 68-1+lenny1.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 83-4+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 95-1.

Nous vous recommandons de mettre à jour vos paquets ecryptfs-utils.