Debians sikkerhedsbulletin

DSA-3569-1 openafs -- sikkerhedsopdatering

Rapporteret den:
5. maj 2016
Berørte pakker:
openafs
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-8312, CVE-2016-2860.
Yderligere oplysninger:

To sårbarheder blev opdaget i openafs, en implementering af det distribuerede filsystem AFS. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2015-8312

    Potentielt lammelsesangreb (denial of service) forårsaget af en fejl i pioctl-logikken, gjorde det muligt for en lokal bruger, at få en kernebuffer til at løbe over, ved hjælp af en enkelt NUL-byte.

  • CVE-2016-2860

    Peter Iannucci opdagede at brugere fra fremmede Kerberos-realms, kunne oprette grupper, hvis de var administratorer.

I den stabile distribution (jessie), er disse problemer rettet i version 1.6.9-2+deb8u5.

I distributionen testing (stretch), er disse problemer rettet i version 1.6.17-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.6.17-1.

Vi anbefaler at du opgraderer dine openafs-pakker.