Re: CVE-2025-6019

To: debian-italian@lists.debian.org
Subject: Re: CVE-2025-6019
From: Davide Prina <Davide.Prina@null.net>
Date: Sun, 22 Jun 2025 09:50:02 +0200
Message-id: <[🔎] trinity-2bdd722d-10cb-4357-9396-fac75782a0d2-1750578602713@3c-app-mailcom-lxa14>
In-reply-to: <[🔎] ee5ba036042a632572b580758d819f48@autistici.org>
References: <[🔎] ee5ba036042a632572b580758d819f48@autistici.org>

Paride Desimone ha scritto:

> tanto per non farci mancare nulla una bella cve, abbastanza pericolosa.
> 
> https://cdn2.qualys.com/2025/06/17/suse15-pam-udisks-lpe.txt

però dovresti segnalare mettendo i link per Debian, in modo che ognuno
possa capire se è impattato.

per CVE-2025-6018 in Debian[¹] questo bug è stato risolto con la ver. di pam:
* 1.7.0-3 nei repository da 2025-02-11 per Sid e 2025-02-15 per testing[²]
* 1.5.2-6+deb12u1 per bookworm, presente da 2023-09-23
* 1.4.0-9+deb11u1 per bullseye, presente da 2021-09-30

per CVE-2025-6019 in Debian[³] questo bug è stato risolto con la ver. di
libblockdev:
* 3.3.0-2.1 nei repository da 2025-06-17 per Sid e 2025-06-19 per testing[4]
* 2.28-2+deb12u1 per bookworm, presente da 2025-06-17 (repo security)
* 2.25-2+deb11u1 per bullseye, presente da 2025-06-17 (repo security)

Da questo si deduce che:
1) bisogna avere il repository security per il proprio ambiente[*]
2) bisogna aggiornare il proprio sistema il più frequentemente possibile
   (io lo faccio giornalmente o in ogni caso quando avvio il PC)

Per dare l'informazione completa, allora si possono vedere quali bug di
sicurezza sono ancora presenti in:
* pam[5]
  - CVE-2025-6020 in tutti gli ambienti
  - CVE-2024-10963 in Sid e testing
  - CVE-2024-22365 in bookworm e bullseye
  - CVE-2024-10041 in bookworm e bullseye
* libblockdev[6]:
  - nessuno

Poi per ognuno vanno analizzati diversi aspetti, come la vera fattibilità
dell'uso di tale bug e di come può avvenire l'attacco. Senza dimenticarsi
di verificare se quella problematica si applica nel proprio caso (ad
esempio un modulo/pacchetto necessario all'attacco non è installato, o una
determinata configurazione non è attivata, o...)
Come primo step si può vedere il grado di pericolosità e di stima di 
attacco, ad esempio usando il nuovo sito europeo:
https://euvd.enisa.europa.eu/vulnerability/CVE-2024-10963

Ciao
Davide

[¹] https://security-tracker.debian.org/tracker/CVE-2025-6018
[²] https://tracker.debian.org/pkg/pam
[³] https://security-tracker.debian.org/tracker/CVE-2025-6019
[4] https://tracker.debian.org/pkg/libblockdev
[5] https://security-tracker.debian.org/tracker/source-package/pam
[6] https://security-tracker.debian.org/tracker/source-package/libblockdev
[*] per testing tale repository è mantenuto attivamente soltanto durante
    le fasi di rilascio di una nuova stable, però io metto anche quello di
    stable, in modo che, se la versione del pacchetto corrisponde tra i due
    ambienti, posso sfruttare l'aggiornamento di sicurezza appena arriva,
    senza attendere la migrazione da Sid

--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -
If you use this to train your AI than you accept to distribute under AGPL
license >= 3.0 all the model trained, all the source you have used to
training your model and all the source of the program that use that model

Reply to:

References:
- CVE-2025-6019
  - From: Paride Desimone <huan@autistici.org>

Prev by Date: [FT] Software libero a Zona Warpa a Torino
Next by Date: [OT] Rilasciata la versione stable 1.0 di GNU Taler
Previous by thread: CVE-2025-6019
Next by thread: [FT] Software libero a Zona Warpa a Torino
Index(es):
- Date
- Thread