Bulletin d'alerte Debian

DSA-2737-1 swift -- Plusieurs vulnérabilités

Date du rapport :
12 août 2013
Paquets concernés :
swift
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-2161, CVE-2013-4155.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Swift, le stockage d'objets d'Openstack. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2013-2161

    Alex Gaynor de Rackspace a signalé une vulnérabilité dans le traitement du XML dans les serveurs de comptes Swift. Les chaînes de comptes n'étaient pas échappées dans les listes xml et un attaquant pourrait éventuellement créer des réponses XML non traitables ou arbitraires qui pourraient servir à exploiter d'autres vulnérabilités dans le logiciel appelant.

  • CVE-2013-4155

    Peter Portante de Red Hat a signalé une vulnérabilité dans Swift. En envoyant des requêtes ayant une ancienne valeur de X-Timestamp, un attaquant authentifié peut remplir un serveur d'objets avec des objets inutiles, ce qui pourrait significativement ralentir les requêtes suivantes sur ce serveur d'objets, simplifiant une attaque par déni de service contre les grappes Swift.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.8-2+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.8.0-6.

Nous vous recommandons de mettre à jour vos paquets swift.