Vulnérabilité sur Debian

Une analyse incorrecte des réponses d’un serveur SSH dans LDM permet d’effectuer une élévation locale de privilèges. LDM est un gestionnaire d’affichage du Linux Terminal Server Project (LTSP) qui utilise le protocole SSH pour sécuriser les connexions aux sessions graphiques.

CVE-2019-20373 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité sur les versions 2.18.06 et antérieures de LTSP LDM permet à partir d’un client lourd un accès en root. Ceci est dû à un défaut sur la variable LDM_USERNAME qui peut avoir une valeur nulle si le shell (interpréteur de commande) utilisateur ne supporte pas la syntaxe utilisée pour le Bourne shell (bsh).

Informations
+

Risques

  • Elévation locale de privilèges

Criticité

  • Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible

Composants vulnérables

  • LTSP LDM versions 2.18.06 et antérieures (buster)
  • LTSP LDM versions 2.2.15-2 et antérieures (jessie)
  • LTSP LDM versions 2.2.18-2  et antérieures (stretch)

CVE

  •  CVE-2019-20373

Recommandations
+

Mise en place de correctifs de sécurité

  • Appliquer le correctif fourni par l’éditeur

Solution de contournement

  • Aucune solution n’a été proposée autre que la mise à jour