SUSE has released an advisory on May 9: https://lwn.net/Articles/973070/ The fix for Cauldron: https://github.com/SSSD/sssd/commit/e1bfbc2493c4194988acc3b2413df3dde0735ae3 The fix for Mageia 9: https://github.com/SSSD/sssd/commit/f4ebe1408e0bc67abfbfb5f0ca2ea13803b36726 Mageia 9 is also affected.
CVE: (none) => CVE-2023-3758Status comment: (none) => Patches available from upstreamWhiteboard: (none) => MGA9TOOSource RPM: (none) => sssd-2.9.3-1.mga10.src.rpm
Suggested advisory: ======================== The updated packages fix a security vulnerability: A race condition flaw was found in sssd where the GPO policy is not consistently applied for authenticated users. This may lead to improper authorization issues, granting or denying access to resources inappropriately. (CVE-2023-3758) References: https://lwn.net/Articles/973070/ https://lists.suse.com/pipermail/sle-updates/2024-May/035216.html ======================== Updated packages in core/updates_testing: ======================== libipa_hbac-2.8.2-2.1.mga9 libipa_hbac-devel-2.8.2-2.1.mga9 libsss_autofs-2.8.2-2.1.mga9 libsss_certmap-2.8.2-2.1.mga9 libsss_certmap-devel-2.8.2-2.1.mga9 libsss_idmap-2.8.2-2.1.mga9 libsss_idmap-devel-2.8.2-2.1.mga9 libsss_nss_idmap-2.8.2-2.1.mga9 libsss_nss_idmap-devel-2.8.2-2.1.mga9 libsss_simpleifp-2.8.2-2.1.mga9 libsss_simpleifp-devel-2.8.2-2.1.mga9 libsss_sudo-2.8.2-2.1.mga9 python3-libipa_hbac-2.8.2-2.1.mga9 python3-libsss_nss_idmap-2.8.2-2.1.mga9 python3-sss-2.8.2-2.1.mga9 python3-sss-murmur-2.8.2-2.1.mga9 python3-sssdconfig-2.8.2-2.1.mga9.noarch.rpm sssd-2.8.2-2.1.mga9 sssd-ad-2.8.2-2.1.mga9 sssd-client-2.8.2-2.1.mga9 sssd-common-2.8.2-2.1.mga9 sssd-common-pac-2.8.2-2.1.mga9 sssd-dbus-2.8.2-2.1.mga9 sssd-ipa-2.8.2-2.1.mga9 sssd-kcm-2.8.2-2.1.mga9 sssd-krb5-2.8.2-2.1.mga9 sssd-krb5-common-2.8.2-2.1.mga9 sssd-ldap-2.8.2-2.1.mga9 sssd-nfs-idmap-2.8.2-2.1.mga9 sssd-proxy-2.8.2-2.1.mga9 sssd-tools-2.8.2-2.1.mga9 sssd-winbind-idmap-2.8.2-2.1.mga9 from SRPM: sssd-2.8.2-2.1.mga9.src.rpm
Source RPM: sssd-2.9.3-1.mga10.src.rpm => sssd-2.8.2-2.mga9.src.rpmWhiteboard: MGA9TOO => (none)Status: NEW => ASSIGNEDVersion: Cauldron => 9Assignee: bugsquad => qa-bugsStatus comment: Patches available from upstream => (none)
Keywords: (none) => advisory
RH mageia 9 x86_64 LC_ALL=C urpmi /home/katnatek/qa-testing/x86_64/*.rpm To satisfy dependencies, the following packages are going to be installed: Package Version Release Arch (medium "Core Release (distrib1)") lib64cap-devel 2.52 5.mga9 x86_64 lib64dbus-devel 1.14.6 1.mga9 x86_64 lib64dhash-devel 0.5.0 15.mga9 x86_64 lib64dhash1 0.5.0 15.mga9 x86_64 lib64lz4-devel 1.9.4 1.mga9 x86_64 lib64sasl2-plug-gssapi 2.1.27 7.mga9 x86_64 lib64talloc-devel 2.3.4 1.mga9 x86_64 libcap-utils 2.52 5.mga9 x86_64 (medium "Core Updates (distrib3)") systemd-devel 253.16 1.mga9 x86_64 (command line) libipa_hbac 2.8.2 2.1.mga9 x86_64 libipa_hbac-devel 2.8.2 2.1.mga9 x86_64 libsss_autofs 2.8.2 2.1.mga9 x86_64 libsss_certmap 2.8.2 2.1.mga9 x86_64 libsss_certmap-devel 2.8.2 2.1.mga9 x86_64 libsss_idmap 2.8.2 2.1.mga9 x86_64 libsss_idmap-devel 2.8.2 2.1.mga9 x86_64 libsss_nss_idmap 2.8.2 2.1.mga9 x86_64 libsss_nss_idmap-devel 2.8.2 2.1.mga9 x86_64 libsss_simpleifp 2.8.2 2.1.mga9 x86_64 libsss_simpleifp-devel 2.8.2 2.1.mga9 x86_64 libsss_sudo 2.8.2 2.1.mga9 x86_64 python3-libipa_hbac 2.8.2 2.1.mga9 x86_64 python3-libsss_nss_idmap 2.8.2 2.1.mga9 x86_64 python3-sss 2.8.2 2.1.mga9 x86_64 python3-sss-murmur 2.8.2 2.1.mga9 x86_64 python3-sssdconfig 2.8.2 2.1.mga9 noarch sssd 2.8.2 2.1.mga9 x86_64 sssd-ad 2.8.2 2.1.mga9 x86_64 sssd-client 2.8.2 2.1.mga9 x86_64 sssd-common 2.8.2 2.1.mga9 x86_64 sssd-common-pac 2.8.2 2.1.mga9 x86_64 sssd-dbus 2.8.2 2.1.mga9 x86_64 sssd-ipa 2.8.2 2.1.mga9 x86_64 sssd-kcm 2.8.2 2.1.mga9 x86_64 sssd-krb5 2.8.2 2.1.mga9 x86_64 sssd-krb5-common 2.8.2 2.1.mga9 x86_64 sssd-ldap 2.8.2 2.1.mga9 x86_64 sssd-nfs-idmap 2.8.2 2.1.mga9 x86_64 sssd-proxy 2.8.2 2.1.mga9 x86_64 sssd-tools 2.8.2 2.1.mga9 x86_64 sssd-winbind-idmap 2.8.2 2.1.mga9 x86_64 13MB of additional disk space will be used. 4.2MB of packages will be retrieved. Proceed with the installation of the 41 packages? (Y/n) y https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64lz4-devel-1.9.4-1.mga9.x86_64.rpm https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/libcap-utils-2.52-5.mga9.x86_64.rpm https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64talloc-devel-2.3.4-1.mga9.x86_64.rpm https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64cap-devel-2.52-5.mga9.x86_64.rpm https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64sasl2-plug-gssapi-2.1.27-7.mga9.x86_64.rpm https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64dbus-devel-1.14.6-1.mga9.x86_64.rpm https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64dhash-devel-0.5.0-15.mga9.x86_64.rpm https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/lib64dhash1-0.5.0-15.mga9.x86_64.rpm https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/updates/systemd-devel-253.16-1.mga9.x86_64.rpm installing /home/katnatek/qa-testing/x86_64/libsss_sudo-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_idmap-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_idmap-devel-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libipa_hbac-2.8.2-2.1.mga9.x86_64.rpm /var/cache/urpmi/rpms/lib64talloc-devel-2.3.4-1.mga9.x86_64.rpm /var/cache/urpmi/rpms/lib64dhash1-0.5.0-15.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/python3-libipa_hbac-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-krb5-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-krb5-common-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-common-2.8.2-2.1.mga9.x86_64.rpm /var/cache/urpmi/rpms/lib64dbus-devel-1.14.6-1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-ad-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-client-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_nss_idmap-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_certmap-devel-2.8.2-2.1.mga9.x86_64.rpm /var/cache/urpmi/rpms/systemd-devel-253.16-1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-ipa-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-kcm-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-nfs-idmap-2.8.2-2.1.mga9.x86_64.rpm /var/cache/urpmi/rpms/lib64sasl2-plug-gssapi-2.1.27-7.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-proxy-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_certmap-2.8.2-2.1.mga9.x86_64.rpm /var/cache/urpmi/rpms/lib64cap-devel-2.52-5.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-tools-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-ldap-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_autofs-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-common-pac-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_simpleifp-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_nss_idmap-devel-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libipa_hbac-devel-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/libsss_simpleifp-devel-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/python3-sss-murmur-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-dbus-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/python3-sssdconfig-2.8.2-2.1.mga9.noarch.rpm /home/katnatek/qa-testing/x86_64/python3-libsss_nss_idmap-2.8.2-2.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-winbind-idmap-2.8.2-2.1.mga9.x86_64.rpm /var/cache/urpmi/rpms/libcap-utils-2.52-5.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/sssd-2.8.2-2.1.mga9.x86_64.rpm /var/cache/urpmi/rpms/lib64dhash-devel-0.5.0-15.mga9.x86_64.rpm /var/cache/urpmi/rpms/lib64lz4-devel-1.9.4-1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/python3-sss-2.8.2-2.1.mga9.x86_64.rpm Preparing... ################################################################################################## 1/41: lib64dhash1 ################################################################################################## 2/41: libsss_idmap ################################################################################################## 3/41: libsss_nss_idmap ################################################################################################## 4/41: libsss_certmap ################################################################################################## 5/41: libipa_hbac ################################################################################################## 6/41: python3-sssdconfig ################################################################################################## 7/41: sssd-client ################################################################################################## 8/41: sssd-winbind-idmap ################################################################################################## 9/41: lib64dhash-devel ################################################################################################## 10/41: lib64lz4-devel ################################################################################################## 11/41: libcap-utils ################################################################################################## 12/41: lib64cap-devel ################################################################################################## 13/41: systemd-devel ################################################################################################## 14/41: lib64dbus-devel ################################################################################################## 15/41: libsss_autofs ################################################################################################## 16/41: lib64sasl2-plug-gssapi ################################################################################################## 17/41: sssd-nfs-idmap ################################################################################################## 18/41: lib64talloc-devel ################################################################################################## 19/41: libsss_sudo ################################################################################################## 20/41: sssd-common ################################################################################################## 21/41: sssd-krb5-common ################################################################################################## 22/41: sssd-common-pac ################################################################################################## 23/41: sssd-dbus ################################################################################################## 24/41: libsss_simpleifp ################################################################################################## 25/41: sssd-ad ################################################################################################## 26/41: sssd-ipa ################################################################################################## 27/41: sssd-krb5 ################################################################################################## 28/41: sssd-ldap ################################################################################################## 29/41: sssd-proxy ################################################################################################## 30/41: python3-sss ################################################################################################## 31/41: sssd-tools ################################################################################################## 32/41: sssd ################################################################################################## 33/41: libsss_simpleifp-devel ################################################################################################## 34/41: sssd-kcm ################################################################################################## 35/41: libsss_certmap-devel ################################################################################################## 36/41: python3-libipa_hbac ################################################################################################## 37/41: libipa_hbac-devel ################################################################################################## 38/41: libsss_nss_idmap-devel ################################################################################################## 39/41: python3-libsss_nss_idmap ################################################################################################## 40/41: libsss_idmap-devel ################################################################################################## 41/41: python3-sss-murmur ################################################################################################## Reference test made bt Herman in bug#29383 comment#5 systemctl start sssd ystemctl -l status sssd ● sssd.service - System Security Services Daemon Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; preset: enabled) Active: active (running) since Tue 2024-05-14 18:02:01 CST; 23s ago Main PID: 140089 (sssd) Tasks: 3 (limit: 6904) Memory: 44.3M CPU: 252ms CGroup: /system.slice/sssd.service ├─140089 /usr/sbin/sssd -i --logger=files ├─140090 /usr/libexec/sssd/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files └─140091 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files may 14 18:02:00 phoenix systemd[1]: Starting sssd.service... may 14 18:02:00 phoenix sssd[140089]: Starting up may 14 18:02:01 phoenix sssd_be[140090]: Starting up may 14 18:02:01 phoenix sssd_nss[140091]: Starting up may 14 18:02:01 phoenix systemd[1]: Started sssd.service. Looks similar
CC: (none) => andrewsfarm
Tested also update from current packages Feel free of remove OK if necessary
Whiteboard: (none) => MGA9-64-OK
Validating.
CC: (none) => sysadmin-bugsKeywords: (none) => validated_update
An update for this issue has been pushed to the Mageia Updates repository. https://advisories.mageia.org/MGASA-2024-0176.html
Resolution: (none) => FIXEDStatus: ASSIGNED => RESOLVED