Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2382-1 ecryptfs-utils

Säkerhetsbulletin från Debian

DSA-2382-1 ecryptfs-utils -- flera sårbarheter

Rapporterat den:

2012-01-07

Berörda paket:

ecryptfs-utils

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-1831, CVE-2011-1832, CVE-2011-1834, CVE-2011-1835, CVE-2011-1837, CVE-2011-3145.

Ytterligare information:

Flera problem har upptäckts i eCryptfs, ett kryptografiskt filsystem för Linux.

• CVE-2011-1831

  Vasiliy Kulikov från Openwall och Dan Rosenberg upptäckte att eCryptfs felaktigt validerar rättigheter på den efterfrågade monteringspunkten. En lokal angripare kunde använda denna brist för att montera på godtyckliga platser, vilket leder till utökning av privilegier.

• CVE-2011-1832

  Vasiliy Kulikov från Openwall och Dan Rosenberg upptäckte att eCryptfs felaktigt validerar rättigheter på den efterfrågade monteringspunkten. En lokal angripare kunde använda denna brist för att avmontera på godtyckliga platser, vilket leder till överbelastning.

• CVE-2011-1834

  Dan Rosenberg och Marc Deslauriers upptäckte att eCryptfs felaktigt hanterar förändringar till mtab-filen när ett fel inträffar. En lokal angripare kunde använda denna brist för att korrumpera mtab-filen, och möjligen avmontera på godtyckliga platser, vilket leder till överbelastning.

• CVE-2011-1835

  Marc Deslauriers upptäckte att eCryptfs felaktigt hanterar nycklar när den sätter upp en krypterad privat mapp. En lokal angripare kunde använda denna brist för att manipulera nycklar under skapande av en ny användare.

• CVE-2011-1837

  Vasiliy Kulikov från Openwall upptäckte att eCryptfs felaktigt hanterar låsräknare. En lokal användare kunde använda denna brist för att möjligen skriva över godtyckliga filer.

Vi erkänner arbetet som utförs av Ubuntudistributionen för att förbereda patchar som nästan direkt är lämpliga för inkludering i Debianpaketet.

För den gamla stabila utgåvan (Lenny) har dessa problem rättats i version 68-1+lenny1.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 83-4+squeeze1.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har dessa problem rättats i version 95-1.

Vi rekommenderar att ni uppgraderar era ecryptfs-utils-paket.