Bulletin d'alerte Debian

DLA-342-1 openafs -- Mise à jour de sécurité pour LTS

Date du rapport :
18 novembre 2015
Paquets concernés :
openafs
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3282, CVE-2015-3283, CVE-2015-3285, CVE-2015-6587, CVE-2015-7762, CVE-2015-7763.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes et corrigées dans le système de fichiers distribué OpenAFS :

  • CVE-2015-3282

    vos divulguait en clair des données de la pile sur le réseau lors de la mise à jour d'entrées vldb.

  • CVE-2015-3283

    OpenAFS permettait à des attaquants distants d'usurper des commandes bos grâce à des moyens non spécifiés.

  • CVE-2015-3285

    pioctl utilisait mal le pointeur en lien avec le RPC, permettant à des utilisateurs locaux de provoquer un déni de service (corruption de mémoire et « kernel panic ») à l'aide d'une commande OSD FS contrefaite.

  • CVE-2015-6587

    vlserver permettait à des utilisateurs distants authentifiés de provoquer un déni de service (lecture hors limites et plantage) à l'aide d'une expression rationnelle contrefaite dans un RPC VL_ListAttributesN2.

  • CVE-2015-7762 et CVE-2015-7763 (« Tattletale »)

    John Stumpo a découvert que les paquets d'accusés de réception (« ACK ») Rx divulguaient en clair des paquets traités précédemment.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.4.12.1+dfsg-4+squeeze4 d'openafs.

Nous vous recommandons de mettre à jour vos paquets OpenAFS.