Bulletin d'alerte Debian

DLA-295-1 conntrack -- Mise à jour de sécurité pour LTS

Date du rapport :
19 août 2015
Paquets concernés :
conntrack
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-6496.
Plus de précisions :

« jann » a découvert que dans certaines configurations, conntrackd plantera lors du traitement de paquets DCCP, SCTP ou ICMPv6, si le module du noyau conntrack correspondant n'est pas chargé. Dans la version fournie dans Debian 6.0 Squeeze, cette vulnérabilité ne concerne que ICMPv6.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 1:0.9.14-2+deb6u1.

Pour la distribution oldstable (Wheezy) et la distribution stable (Jessie), ce problème sera corrigé prochainement.