Рекомендация Debian по безопасности

DLA-342-1 openafs -- обновление безопасности LTS

Дата сообщения:
18.11.2015
Затронутые пакеты:
openafs
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-3282, CVE-2015-3283, CVE-2015-3285, CVE-2015-6587, CVE-2015-7762, CVE-2015-7763.
Более подробная информация:

В распределённой файловой системе OpenAFS было обнаружено и исправлено несколько уязвимостей:

  • CVE-2015-3282

    Утечка данных стека из vos при обновлении записей vldb.

  • CVE-2015-3283

    OpenAFS позволяет удалённым злоумышленникам подделывать команды bos с помощью неопределённых векторов.

  • CVE-2015-3285

    pioctl неправильно использует указатель, связанный с RPC, позволяя локальным пользователям вызывать отказ в обслуживании (повреждение содержимого памяти и паника ядра) с помощью специально сформированной команды OSD FS.

  • CVE-2015-6587

    vlserver позволяет аутентифицированным пользователям вызывать отказ в обслуживании (чтение за пределами выделенного буфера памяти и аварийная остановка) с помощью специально сформированного регулярного выражения в RPC VL_ListAttributesN2.

  • CVE-2015-7762 и CVE-2015-7763 ("Tattletale")

    Джон Стампо обнаружил, что Rx-пакеты ACK содержат в виде открытого текста ранее обработанные пакеты.

В Debian 6 Squeeze эти проблемы были исправлены в openafs версии 1.4.12.1+dfsg-4+squeeze4.

Рекомендуется обновить пакеты OpenAFS.