Bulletin d'alerte Debian

DSA-3013-1 s3ql -- Mise à jour de sécurité

Date du rapport :
27 août 2014
Paquets concernés :
s3ql
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0485.
Plus de précisions :

Nikolaus Rath a découvert que s3ql, un système de fichiers pour le stockage de données en ligne, utilisait la fonctionnalité pickle du langage de programmation Python d'une manière non sûre. En conséquence, un moteur de stockage malveillant ou un attaquant de type « homme du milieu » était capable d'exécuter du code arbitraire.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.11.1-3+deb7u1.

Nous vous recommandons de mettre à jour vos paquets s3ql.