GLSA 201706-29: KAuth and KDELibs: Privilege escalation

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	KAuth and KDELibs: Privilege escalation
Дата:	27.06.2017
Ошибки:	#618108
ID:	201706-29

Сводка

A vulnerability in KAuth and KDELibs allows local users to gain root privileges.

Назначение

KAuth provides a convenient, system-integrated way to offload actions that need to be performed as a privileged user (root, for example) to small (hopefully secure) helper utilities.

The KDE libraries, basis of KDE and used by many open source projects.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
kde-frameworks/kauth	< 5.29.0-r1	>= 5.29.0-r1	All supported architectures
kde-frameworks/kdelibs	< 4.14.32	>= 4.14.32	All supported architectures

Описание

KAuth and KDELibs contains a logic flaw in which the service invoking D-Bus is not properly checked. This allows spoofing the identity of the caller and with some carefully crafted calls can lead to gaining root from an unprivileged account.

Воздействие

A local attacker could spoof the identity of the caller invoking D-Bus, possibly resulting in gaining privileges.

Обход

There is no known workaround at this time.

Решение

All KAuth users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=kde-frameworks/kauth-5.29.0-r1"

All KDELibs users should upgrade to the latest version:


      # emerge --sync
      # emerge --ask --oneshot --verbose ">=kde-frameworks/kdelibs-4.14.32"

Ссылки

CVE-2017-8422

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201706-29.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.