Bulletin d'alerte Debian

DSA-3130-1 lsyncd -- Mise à jour de sécurité

Date du rapport :
16 janvier 2015
Paquets concernés :
lsyncd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-8990.
Plus de précisions :

lsyncd, un démon pour synchroniser des répertoires locaux avec rsync, réalise une vérification insuffisante des noms de fichiers qui pourrait conduire à l'exécution de commandes arbitraires.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.0.7-3+deb7u1.

Pour la prochaine distribution stable (Jessie), ce problème a été corrigé dans la version 2.1.5-2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.1.5-2.

Nous vous recommandons de mettre à jour vos paquets lsyncd.