Debian DSA-2382-1：ecryptfs-utils - 複数の脆弱性

critical Nessus プラグイン ID 57522

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

複数の問題が、Linux 用の暗号化ファイルシステムである eCryptfs で見つかりました。

- CVE-2011-1831 Openwall の Vasiliy Kulikov 氏と Dan Rosenberg 氏は、リクエストされているマウントポイントの権限を eCryptfs が誤って検証していることを発見しました。ローカルの攻撃者がこの欠陥を利用して任意のロケーションをマウントし、権限昇格を引き起こす可能性があります。

- CVE-2011-1832 Openwall の Vasiliy Kulikov 氏と Dan Rosenberg 氏は、リクエストされているマウントポイントの権限を eCryptfs が誤って検証していることを発見しました。ローカルの攻撃者がこの欠陥を利用して任意のロケーションをアンマウントし、サービス拒否を引き起こす可能性があります。

- CVE-2011-1834 Dan Rosenberg 氏および Marc Deslauriers 氏は、エラーが発生した際に、eCryptfs が mtab ファイルの変更を適切に処理していないことを発見しました。ローカルの攻撃者がこの欠陥を利用して、mtab ファイルを破損させたり、任意のロケーションをアンマウントしてサービス拒否を引き起こしたりする可能性があります。

- CVE-2011-1835 Marc Deslauriers 氏は、暗号化秘密ディレクトリを設定する際に、eCryptfs がキーを適切に処理していないことを発見しました。ローカルの攻撃者がこの欠陥を利用して、新規ユーザーの作成中にキーを操作する可能性があります。

- CVE-2011-1837 Openwall の Vasiliy Kulikov 氏は、eCryptfs がロックカウンターを適切に処理していないことを発見しました。ローカルの攻撃者がこの欠陥を利用して、任意のファイルを上書きする可能性があります。

我々は、Debian パッケージの近直接包含に適したパッチを準備するための、Ubuntu ディストリビューションの作業に感謝の意を表します。

ソリューション

ecryptfs-utils パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（lenny）では、これらの問題はバージョン 68-1+lenny1 で修正されています。

安定版（stable）ディストリビューション（squeeze）では、これらの問題はバージョン 83-4+squeeze1 で修正されています。