Bulletin d'alerte Debian

DSA-3047-1 rsyslog -- Mise à jour de sécurité

Date du rapport :
8 octobre 2014
Paquets concernés :
rsyslog
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-3683.
Plus de précisions :

Mancha a découvert une vulnérabilité dans rsyslog, un système de journalisation. Cette vulnérabilité est un dépassement d'entier pouvant être déclenché par des messages malformés vers un serveur, si celui-ci accepte les données depuis des sources non sûres, ce qui provoque des pertes de messages, un déni de service et, potentiellement, l'exécution de code à distance.

Cette vulnérabilité peut être vue comme un correctif incomplet de CVE-2014-3634 (DSA 3040-1).

Plus d'informations : http://www.rsyslog.com/remote-syslog-pri-vulnerability-cve-2014-3683/

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 5.8.11-3+deb7u2.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 8.4.2-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 8.4.2-1.

Nous vous recommandons de mettre à jour vos paquets rsyslog.