34048 – libcap new security issue CVE-2025-1390

Bug 34048 - libcap new security issue CVE-2025-1390

Summary: libcap new security issue CVE-2025-1390

Status:	RESOLVED FIXED

Alias:	None

Product:	Mageia
Classification:	Unclassified
Component:	Security (show other bugs)
Version:	9
Hardware:	All Linux

Priority:	Normal Severity: normal
Target Milestone:	---
Assignee:	QA Team
QA Contact:	Sec team

URL:
Whiteboard:	MGA9-64-OK,MGA9-32-OK
Keywords:	advisory, validated_update

Depends on:
Blocks:

Reported:	2025-02-25 16:01 CET by Nicolas Salguero
Modified:	2025-02-26 21:11 CET (History)
CC List:	4 users (show)

See Also:
Source RPM:	libcap-2.52-5.mga9.src.rpm
CVE:	CVE-2025-1390
Status comment:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Description Nicolas Salguero 2025-02-25 16:01:08 CET

Ubuntu has issued an advisory on February 24:
https://ubuntu.com/security/notices/USN-7287-1

Nicolas Salguero 2025-02-25 16:01:43 CET

Whiteboard: (none) => MGA9TOO
Status comment: (none) => Patch available from Ubuntu
CVE: (none) => CVE-2025-1390
Source RPM: (none) => libcap-2.73-1.mga10.src.rpm, libcap-2.52-5.mga9.src.rpm

Comment 1 Nicolas Salguero 2025-02-25 16:17:01 CET

Suggested advisory:
========================

The updated packages fix a security vulnerability:

pam_cap: Fix potential configuration parsing error. (CVE-2025-1390)

References:
https://ubuntu.com/security/notices/USN-7287-1
========================

Updated packages in core/updates_testing:
========================
lib(64)cap2-2.52-5.1.mga9
lib(64)cap-devel-2.52-5.1.mga9
libcap-utils-2.52-5.1.mga9
pam_cap-2.52-5.1.mga9

from SRPM:
libcap-2.52-5.1.mga9.src.rpm

Version: Cauldron => 9
Whiteboard: MGA9TOO => (none)
Assignee: bugsquad => qa-bugs
Status: NEW => ASSIGNED
Source RPM: libcap-2.73-1.mga10.src.rpm, libcap-2.52-5.mga9.src.rpm => libcap-2.52-5.mga9.src.rpm
Status comment: Patch available from Ubuntu => (none)

katnatek 2025-02-25 20:10:25 CET

Keywords: (none) => advisory

PC LX 2025-02-25 23:58:11 CET

CC: (none) => mageia

Comment 2 katnatek 2025-02-26 00:30:52 CET

RH x86_64

installing lib64cap2-2.52-5.1.mga9.x86_64.rpm from //home/katnatek/qa-testing/x86_64
Preparing...                     ##################################################################################################
      1/1: lib64cap2             ##################################################################################################
      1/1: removing lib64cap2-2.52-5.mga9.x86_64
                                 ##################################################################################################

LC_ALL=C urpmi libcap-utils


installing libcap-utils-2.52-5.1.mga9.x86_64.rpm from //home/katnatek/qa-testing/x86_64
Preparing...                     ##################################################################################################
      1/1: libcap-utils          ##################################################################################################

As user
capsh --chroot=/ -- -c /bin/pwd
unable to raise CAP_SYS_CHROOT: Operation not permitted

As root 
capsh --chroot=/ -- -c /bin/pwd
/

As a lot of system things require lib64cap2, I'll reboot and watch the system

Comment 3 katnatek 2025-02-26 01:19:58 CET

RH x86_64

No evident issues 

pulseaudio OK

strace systemctl status shorewall.service
shows
openat(AT_FDCWD, "/lib64/libcap.so.2", O_RDONLY|O_CLOEXEC) = 3

Comment 4 Herman Viaene 2025-02-26 15:25:12 CET

I tested the previous update 31938, found testfile in bug 32032.
# capsh --chroot=/ -- -c /bin/pwd
/
# getcap -v py3requests_test2.py
py3requests_test2.py
# getpcaps py3requests_test2.py
py3requests_test2.py: =ep

Looks the same as test 31938, so OK.

CC: (none) => herman.viaene
Whiteboard: (none) => MGA9-64-OK

Comment 5 Thomas Andrews 2025-02-26 19:53:08 CET

Validating.

Keywords: (none) => validated_update
CC: (none) => andrewsfarm, sysadmin-bugs

Comment 6 katnatek 2025-02-26 20:49:44 CET

RH i586

Test together with x11 bug

installing x11-server-common-21.1.8-7.7.mga9.i586.rpm libcap-devel-2.52-5.1.mga9.i586.rpm libcap-utils-2.52-5.1.mga9.i586.rpm x11-server-xorg-21.1.8-7.7.mga9.i586.rpm x11-server-xwayland-22.1.9-1.7.mga9.i586.rpm libcap2-2.52-5.1.mga9.i586.rpm from //home/katnatek/qa-testing/i586
Preparing...                     #######################################################################################
      1/6: libcap2               #######################################################################################
      2/6: x11-server-common     #######################################################################################
      3/6: libcap-utils          #######################################################################################
      4/6: libcap-devel          #######################################################################################
      5/6: x11-server-xorg       #######################################################################################
      6/6: x11-server-xwayland   #######################################################################################
      1/6: removing libcap-devel-2.52-5.mga9.i586
                                 #######################################################################################
      2/6: removing libcap-utils-2.52-5.mga9.i586
                                 #######################################################################################
      3/6: removing x11-server-xwayland-22.1.9-1.6.mga9.i586
                                 #######################################################################################
      4/6: removing x11-server-xorg-21.1.8-7.6.mga9.i586
                                 #######################################################################################
      5/6: removing x11-server-common-21.1.8-7.6.mga9.i586
                                 #######################################################################################
      6/6: removing libcap2-2.52-5.mga9.i586
                                 #######################################################################################

Reboot
Start system and  lxqt without issues

Whiteboard: MGA9-64-OK => MGA9-64-OK,MGA9-32-OK

Comment 7 Mageia Robot 2025-02-26 21:11:42 CET

An update for this issue has been pushed to the Mageia Updates repository.

https://advisories.mageia.org/MGASA-2025-0082.html

Resolution: (none) => FIXED
Status: ASSIGNED => RESOLVED

Note You need to log in before you can comment on or make changes to this bug.