Bulletin d'alerte Debian

DSA-3569-1 openafs -- Mise à jour de sécurité

Date du rapport :
5 mai 2016
Paquets concernés :
openafs
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8312, CVE-2016-2860.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans openafs, une implémentation du système de fichiers distribué AFS. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2015-8312

    Un possible déni de service provoqué par un bogue dans la logique pioctl permet à un utilisateur local de provoquer un dépassement de tampon du noyau avec un simple octet NUL.

  • CVE-2016-2860

    Peter Iannucci a découvert que les utilisateurs d'un domaine Kerberos étranger peuvent créer des groupes comme s'ils étaient administrateurs.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u5.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.6.17-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.17-1.

Nous vous recommandons de mettre à jour vos paquets openafs.