<div dir="auto">Hi.<div dir="auto"><br></div><div dir="auto">I will fix unstable today but I don't know how to learn again to fix the old releases in a timely maner between so many things to handle at home and work.</div><div dir="auto"><br></div><div dir="auto">Forking from old git tags and pasting the same new postinst over ?</div><div dir="auto"><br></div><div dir="auto">So for this part help will be welcome.</div><div dir="auto"><br></div><div dir="auto">Greets,</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mer. 8 sept. 2021 à 07:21, Martin-Éric Racine <<a href="mailto:martin-eric.racine@iki.fi">martin-eric.racine@iki.fi</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">su 5. syysk. 2021 klo 18.41 Salvatore Bonaccorso (<a href="mailto:carnil@debian.org" target="_blank" rel="noreferrer">carnil@debian.org</a>) kirjoitti:<br>
><br>
> Control: clone 992748 -1<br>
> Control: retitle -1 systemd-cron: CVE-2017-9525: group crontab to root escalation via postinst<br>
> Control: severity -1 important<br>
> Control: found -1 1.5.16-1<br>
> Control: found -1 1.5.14-2<br>
> Control: tags 992748 - security<br>
><br>
> Hi Chris,<br>
><br>
> On Sun, Sep 05, 2021 at 02:49:40PM +0200, Chris Hofstaedtler wrote:<br>
> > Control: tags -1 + security<br>
> ><br>
> > * Alexandre Detiste <<a href="mailto:alexandre.detiste@gmail.com" target="_blank" rel="noreferrer">alexandre.detiste@gmail.com</a>> [210905 12:47]:<br>
> > > Le lun. 23 août 2021 à 04:57, Martin-Éric Racine<br>
> > > <<a href="mailto:martin-eric.racine@iki.fi" target="_blank" rel="noreferrer">martin-eric.racine@iki.fi</a>> a écrit :<br>
> > > > Setting up systemd-cron (1.5.17-1) ...<br>
> > > > xargs: warning: options --max-args and --replace/-I/-i are mutually exclusive, ignoring previous --max-args value<br>
> > > > Thanks.<br>
> > ><br>
> > > This was copy-pasted from src:cron, which must have the same bug now.<br>
> ><br>
> > src:cron removed the offending code as part of a security fix in<br>
> > 2018:<br>
> ><br>
> > <a href="https://salsa.debian.org/debian/cron/-/commit/a10ab4e346e941aaa92f4b671a96895392b917af" rel="noreferrer noreferrer" target="_blank">https://salsa.debian.org/debian/cron/-/commit/a10ab4e346e941aaa92f4b671a96895392b917af</a><br>
> ><br>
> > This would suggest CVE-2017-9525 also affects src:systemd-cron.<br>
><br>
> Looks right and confirmed in a quick test. If the attacher has gained<br>
> crontab group then further escalation is possible.<br>
><br>
> Though technically those two bugs will be resolved at the same step I<br>
> though to be good to separate the escalation issue and the error in<br>
> postinst (but as said, they will be fixed basically together).<br>
><br>
> Once fixed in unstable, can you please fix the issue as well via<br>
> upcoming point releases for bullseye and buster? Similarly as for the<br>
> src:cron case a DSA is not warranted.<br>
<br>
Alexandre,<br>
<br>
Do you have time to fix this now? If not, would it be okay for the<br>
security team to make an NMU for all affected releases?<br>
<br>
Martin-Éric<br>
</blockquote></div>