Bulletin d'alerte Debian

DLA-0021-1 fail2ban -- Mise à jour de sécurité pour LTS

Date du rapport :
26 juillet 2014
Paquets concernés :
fail2ban
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-7176, CVE-2013-7177.
Plus de précisions :
  • Utilisation de failregex ancré pour les filtres afin d'éviter un possible déni de service. Correction importée manuellement de l'état courant de la branche 0.8 (à partir de 0.8.13-29-g09b2016) :
    • CVE-2013-7176 : postfix.conf – ancré au début, attend le préfixe « postfix/smtpd » dans la ligne de journalisation ;
    • CVE-2013-7177 : cyrus-imap.conf – ancré au début et remanié pour n'avoir qu'un seul failregex ;
    • couriersmtp.conf – ancré des deux côtés ;
    • exim.conf – versions ancrées au début récupérées à partir de exim.conf et exim-spam.conf ;
    • lighttpd-fastcgi.conf – ancré au début, récupéré à partir de suhosin.conf (copié à partir de la version de Wheezy).
  • intercepte aussi les échecs de connexions sécurisées (imap/pop3) pour cyrus-imap. La régression a été introduite lors du renfort des failregex dans 0.8.11 (bd175f) bogue Debian n° 755173 ;
  • cyrus-imap : intercepte les tentatives user not found.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 0.8.4-3+squeeze3 de fail2ban.