Re: CVE-2025-6019
Paride Desimone ha scritto:
> tanto per non farci mancare nulla una bella cve, abbastanza pericolosa.
>
> https://cdn2.qualys.com/2025/06/17/suse15-pam-udisks-lpe.txt
però dovresti segnalare mettendo i link per Debian, in modo che ognuno
possa capire se è impattato.
per CVE-2025-6018 in Debian[¹] questo bug è stato risolto con la ver. di pam:
* 1.7.0-3 nei repository da 2025-02-11 per Sid e 2025-02-15 per testing[²]
* 1.5.2-6+deb12u1 per bookworm, presente da 2023-09-23
* 1.4.0-9+deb11u1 per bullseye, presente da 2021-09-30
per CVE-2025-6019 in Debian[³] questo bug è stato risolto con la ver. di
libblockdev:
* 3.3.0-2.1 nei repository da 2025-06-17 per Sid e 2025-06-19 per testing[4]
* 2.28-2+deb12u1 per bookworm, presente da 2025-06-17 (repo security)
* 2.25-2+deb11u1 per bullseye, presente da 2025-06-17 (repo security)
Da questo si deduce che:
1) bisogna avere il repository security per il proprio ambiente[*]
2) bisogna aggiornare il proprio sistema il più frequentemente possibile
(io lo faccio giornalmente o in ogni caso quando avvio il PC)
Per dare l'informazione completa, allora si possono vedere quali bug di
sicurezza sono ancora presenti in:
* pam[5]
- CVE-2025-6020 in tutti gli ambienti
- CVE-2024-10963 in Sid e testing
- CVE-2024-22365 in bookworm e bullseye
- CVE-2024-10041 in bookworm e bullseye
* libblockdev[6]:
- nessuno
Poi per ognuno vanno analizzati diversi aspetti, come la vera fattibilità
dell'uso di tale bug e di come può avvenire l'attacco. Senza dimenticarsi
di verificare se quella problematica si applica nel proprio caso (ad
esempio un modulo/pacchetto necessario all'attacco non è installato, o una
determinata configurazione non è attivata, o...)
Come primo step si può vedere il grado di pericolosità e di stima di
attacco, ad esempio usando il nuovo sito europeo:
https://euvd.enisa.europa.eu/vulnerability/CVE-2024-10963
Ciao
Davide
[¹] https://security-tracker.debian.org/tracker/CVE-2025-6018
[²] https://tracker.debian.org/pkg/pam
[³] https://security-tracker.debian.org/tracker/CVE-2025-6019
[4] https://tracker.debian.org/pkg/libblockdev
[5] https://security-tracker.debian.org/tracker/source-package/pam
[6] https://security-tracker.debian.org/tracker/source-package/libblockdev
[*] per testing tale repository è mantenuto attivamente soltanto durante
le fasi di rilascio di una nuova stable, però io metto anche quello di
stable, in modo che, se la versione del pacchetto corrisponde tra i due
ambienti, posso sfruttare l'aggiornamento di sicurezza appena arriva,
senza attendere la migrazione da Sid
--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -
If you use this to train your AI than you accept to distribute under AGPL
license >= 3.0 all the model trained, all the source you have used to
training your model and all the source of the program that use that model
Reply to: