| Summary: | sssd new security issue CVE-2023-3758 | ||
|---|---|---|---|
| Product: | Mageia | Reporter: | Nicolas Salguero <nicolas.salguero> |
| Component: | Security | Assignee: | QA Team <qa-bugs> |
| Status: | RESOLVED FIXED | QA Contact: | Sec team <security> |
| Severity: | normal | ||
| Priority: | Normal | CC: | andrewsfarm, sysadmin-bugs |
| Version: | 9 | Keywords: | advisory, validated_update |
| Target Milestone: | --- | ||
| Hardware: | All | ||
| OS: | Linux | ||
| Whiteboard: | MGA9-64-OK | ||
| Source RPM: | sssd-2.8.2-2.mga9.src.rpm | CVE: | CVE-2023-3758 |
| Status comment: | |||
|
Description
Nicolas Salguero
2024-05-13 15:19:57 CEST
SUSE has released an advisory on May 9: https://lwn.net/Articles/973070/ The fix for Cauldron: https://github.com/SSSD/sssd/commit/e1bfbc2493c4194988acc3b2413df3dde0735ae3 The fix for Mageia 9: https://github.com/SSSD/sssd/commit/f4ebe1408e0bc67abfbfb5f0ca2ea13803b36726 Mageia 9 is also affected. CVE:
(none) =>
CVE-2023-3758 Suggested advisory: ======================== The updated packages fix a security vulnerability: A race condition flaw was found in sssd where the GPO policy is not consistently applied for authenticated users. This may lead to improper authorization issues, granting or denying access to resources inappropriately. (CVE-2023-3758) References: https://lwn.net/Articles/973070/ https://lists.suse.com/pipermail/sle-updates/2024-May/035216.html ======================== Updated packages in core/updates_testing: ======================== libipa_hbac-2.8.2-2.1.mga9 libipa_hbac-devel-2.8.2-2.1.mga9 libsss_autofs-2.8.2-2.1.mga9 libsss_certmap-2.8.2-2.1.mga9 libsss_certmap-devel-2.8.2-2.1.mga9 libsss_idmap-2.8.2-2.1.mga9 libsss_idmap-devel-2.8.2-2.1.mga9 libsss_nss_idmap-2.8.2-2.1.mga9 libsss_nss_idmap-devel-2.8.2-2.1.mga9 libsss_simpleifp-2.8.2-2.1.mga9 libsss_simpleifp-devel-2.8.2-2.1.mga9 libsss_sudo-2.8.2-2.1.mga9 python3-libipa_hbac-2.8.2-2.1.mga9 python3-libsss_nss_idmap-2.8.2-2.1.mga9 python3-sss-2.8.2-2.1.mga9 python3-sss-murmur-2.8.2-2.1.mga9 python3-sssdconfig-2.8.2-2.1.mga9.noarch.rpm sssd-2.8.2-2.1.mga9 sssd-ad-2.8.2-2.1.mga9 sssd-client-2.8.2-2.1.mga9 sssd-common-2.8.2-2.1.mga9 sssd-common-pac-2.8.2-2.1.mga9 sssd-dbus-2.8.2-2.1.mga9 sssd-ipa-2.8.2-2.1.mga9 sssd-kcm-2.8.2-2.1.mga9 sssd-krb5-2.8.2-2.1.mga9 sssd-krb5-common-2.8.2-2.1.mga9 sssd-ldap-2.8.2-2.1.mga9 sssd-nfs-idmap-2.8.2-2.1.mga9 sssd-proxy-2.8.2-2.1.mga9 sssd-tools-2.8.2-2.1.mga9 sssd-winbind-idmap-2.8.2-2.1.mga9 from SRPM: sssd-2.8.2-2.1.mga9.src.rpm Source RPM:
sssd-2.9.3-1.mga10.src.rpm =>
sssd-2.8.2-2.mga9.src.rpm
katnatek
2024-05-14 03:50:29 CEST
Keywords:
(none) =>
advisory RH mageia 9 x86_64
LC_ALL=C urpmi /home/katnatek/qa-testing/x86_64/*.rpm
To satisfy dependencies, the following packages are going to be installed:
Package Version Release Arch
(medium "Core Release (distrib1)")
lib64cap-devel 2.52 5.mga9 x86_64
lib64dbus-devel 1.14.6 1.mga9 x86_64
lib64dhash-devel 0.5.0 15.mga9 x86_64
lib64dhash1 0.5.0 15.mga9 x86_64
lib64lz4-devel 1.9.4 1.mga9 x86_64
lib64sasl2-plug-gssapi 2.1.27 7.mga9 x86_64
lib64talloc-devel 2.3.4 1.mga9 x86_64
libcap-utils 2.52 5.mga9 x86_64
(medium "Core Updates (distrib3)")
systemd-devel 253.16 1.mga9 x86_64
(command line)
libipa_hbac 2.8.2 2.1.mga9 x86_64
libipa_hbac-devel 2.8.2 2.1.mga9 x86_64
libsss_autofs 2.8.2 2.1.mga9 x86_64
libsss_certmap 2.8.2 2.1.mga9 x86_64
libsss_certmap-devel 2.8.2 2.1.mga9 x86_64
libsss_idmap 2.8.2 2.1.mga9 x86_64
libsss_idmap-devel 2.8.2 2.1.mga9 x86_64
libsss_nss_idmap 2.8.2 2.1.mga9 x86_64
libsss_nss_idmap-devel 2.8.2 2.1.mga9 x86_64
libsss_simpleifp 2.8.2 2.1.mga9 x86_64
libsss_simpleifp-devel 2.8.2 2.1.mga9 x86_64
libsss_sudo 2.8.2 2.1.mga9 x86_64
python3-libipa_hbac 2.8.2 2.1.mga9 x86_64
python3-libsss_nss_idmap 2.8.2 2.1.mga9 x86_64
python3-sss 2.8.2 2.1.mga9 x86_64
python3-sss-murmur 2.8.2 2.1.mga9 x86_64
python3-sssdconfig 2.8.2 2.1.mga9 noarch
sssd 2.8.2 2.1.mga9 x86_64
sssd-ad 2.8.2 2.1.mga9 x86_64
sssd-client 2.8.2 2.1.mga9 x86_64
sssd-common 2.8.2 2.1.mga9 x86_64
sssd-common-pac 2.8.2 2.1.mga9 x86_64
sssd-dbus 2.8.2 2.1.mga9 x86_64
sssd-ipa 2.8.2 2.1.mga9 x86_64
sssd-kcm 2.8.2 2.1.mga9 x86_64
sssd-krb5 2.8.2 2.1.mga9 x86_64
sssd-krb5-common 2.8.2 2.1.mga9 x86_64
sssd-ldap 2.8.2 2.1.mga9 x86_64
sssd-nfs-idmap 2.8.2 2.1.mga9 x86_64
sssd-proxy 2.8.2 2.1.mga9 x86_64
sssd-tools 2.8.2 2.1.mga9 x86_64
sssd-winbind-idmap 2.8.2 2.1.mga9 x86_64
13MB of additional disk space will be used.
4.2MB of packages will be retrieved.
Proceed with the installation of the 41 packages? (Y/n) y
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64lz4-devel-1.9.4-1.mga9.x86_64.rpm
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/libcap-utils-2.52-5.mga9.x86_64.rpm
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64talloc-devel-2.3.4-1.mga9.x86_64.rpm
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64cap-devel-2.52-5.mga9.x86_64.rpm
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64sasl2-plug-gssapi-2.1.27-7.mga9.x86_64.rpm
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64dbus-devel-1.14.6-1.mga9.x86_64.rpm
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64dhash-devel-0.5.0-15.mga9.x86_64.rpm
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64dhash1-0.5.0-15.mga9.x86_64.rpm
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/updates/systemd-devel-253.16-1.mga9.x86_64.rpm
installing /home/katnatek/qa-testing/x86_64/libsss_sudo-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_idmap-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_idmap-devel-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libipa_hbac-2.8.2-2.1.mga9.x86_64.rpm
/var/cache/urpmi/rpms/lib64talloc-devel-2.3.4-1.mga9.x86_64.rpm
/var/cache/urpmi/rpms/lib64dhash1-0.5.0-15.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/python3-libipa_hbac-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-krb5-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-krb5-common-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-common-2.8.2-2.1.mga9.x86_64.rpm
/var/cache/urpmi/rpms/lib64dbus-devel-1.14.6-1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-ad-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-client-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_nss_idmap-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_certmap-devel-2.8.2-2.1.mga9.x86_64.rpm
/var/cache/urpmi/rpms/systemd-devel-253.16-1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-ipa-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-kcm-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-nfs-idmap-2.8.2-2.1.mga9.x86_64.rpm
/var/cache/urpmi/rpms/lib64sasl2-plug-gssapi-2.1.27-7.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-proxy-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_certmap-2.8.2-2.1.mga9.x86_64.rpm
/var/cache/urpmi/rpms/lib64cap-devel-2.52-5.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-tools-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-ldap-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_autofs-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-common-pac-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_simpleifp-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_nss_idmap-devel-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libipa_hbac-devel-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/libsss_simpleifp-devel-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/python3-sss-murmur-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-dbus-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/python3-sssdconfig-2.8.2-2.1.mga9.noarch.rpm
/home/katnatek/qa-testing/x86_64/python3-libsss_nss_idmap-2.8.2-2.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-winbind-idmap-2.8.2-2.1.mga9.x86_64.rpm
/var/cache/urpmi/rpms/libcap-utils-2.52-5.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/sssd-2.8.2-2.1.mga9.x86_64.rpm
/var/cache/urpmi/rpms/lib64dhash-devel-0.5.0-15.mga9.x86_64.rpm
/var/cache/urpmi/rpms/lib64lz4-devel-1.9.4-1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/python3-sss-2.8.2-2.1.mga9.x86_64.rpm
Preparing... ##################################################################################################
1/41: lib64dhash1 ##################################################################################################
2/41: libsss_idmap ##################################################################################################
3/41: libsss_nss_idmap ##################################################################################################
4/41: libsss_certmap ##################################################################################################
5/41: libipa_hbac ##################################################################################################
6/41: python3-sssdconfig ##################################################################################################
7/41: sssd-client ##################################################################################################
8/41: sssd-winbind-idmap ##################################################################################################
9/41: lib64dhash-devel ##################################################################################################
10/41: lib64lz4-devel ##################################################################################################
11/41: libcap-utils ##################################################################################################
12/41: lib64cap-devel ##################################################################################################
13/41: systemd-devel ##################################################################################################
14/41: lib64dbus-devel ##################################################################################################
15/41: libsss_autofs ##################################################################################################
16/41: lib64sasl2-plug-gssapi
##################################################################################################
17/41: sssd-nfs-idmap ##################################################################################################
18/41: lib64talloc-devel ##################################################################################################
19/41: libsss_sudo ##################################################################################################
20/41: sssd-common ##################################################################################################
21/41: sssd-krb5-common ##################################################################################################
22/41: sssd-common-pac ##################################################################################################
23/41: sssd-dbus ##################################################################################################
24/41: libsss_simpleifp ##################################################################################################
25/41: sssd-ad ##################################################################################################
26/41: sssd-ipa ##################################################################################################
27/41: sssd-krb5 ##################################################################################################
28/41: sssd-ldap ##################################################################################################
29/41: sssd-proxy ##################################################################################################
30/41: python3-sss ##################################################################################################
31/41: sssd-tools ##################################################################################################
32/41: sssd ##################################################################################################
33/41: libsss_simpleifp-devel
##################################################################################################
34/41: sssd-kcm ##################################################################################################
35/41: libsss_certmap-devel ##################################################################################################
36/41: python3-libipa_hbac ##################################################################################################
37/41: libipa_hbac-devel ##################################################################################################
38/41: libsss_nss_idmap-devel
##################################################################################################
39/41: python3-libsss_nss_idmap
##################################################################################################
40/41: libsss_idmap-devel ##################################################################################################
41/41: python3-sss-murmur ##################################################################################################
Reference test made bt Herman in bug#29383 comment#5
systemctl start sssd
ystemctl -l status sssd
● sssd.service - System Security Services Daemon
Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; preset: enabled)
Active: active (running) since Tue 2024-05-14 18:02:01 CST; 23s ago
Main PID: 140089 (sssd)
Tasks: 3 (limit: 6904)
Memory: 44.3M
CPU: 252ms
CGroup: /system.slice/sssd.service
├─140089 /usr/sbin/sssd -i --logger=files
├─140090 /usr/libexec/sssd/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files
└─140091 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
may 14 18:02:00 phoenix systemd[1]: Starting sssd.service...
may 14 18:02:00 phoenix sssd[140089]: Starting up
may 14 18:02:01 phoenix sssd_be[140090]: Starting up
may 14 18:02:01 phoenix sssd_nss[140091]: Starting up
may 14 18:02:01 phoenix systemd[1]: Started sssd.service.
Looks similar
katnatek
2024-05-15 02:05:32 CEST
CC:
(none) =>
andrewsfarm Tested also update from current packages Feel free of remove OK if necessary Whiteboard:
(none) =>
MGA9-64-OK Validating. CC:
(none) =>
sysadmin-bugs An update for this issue has been pushed to the Mageia Updates repository. https://advisories.mageia.org/MGASA-2024-0176.html Resolution:
(none) =>
FIXED |