Bulletin d'alerte Debian

DSA-3761-1 rabbitmq-server -- Mise à jour de sécurité

Date du rapport :
13 janvier 2017
Paquets concernés :
rabbitmq-server
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 849849.
Dans le dictionnaire CVE du Mitre : CVE-2016-9877.
Plus de précisions :

RabbitMQ, une implémentation du protocole AMQP, ne validait pas correctement l'authentification de connexion MQTT (MQ Telemetry Transport). Cela permettait à n'importe qui de se connecter à un compte utilisateur existant sans avoir à fournir de mot de passe.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.3.5-1.1+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ce problème a été corrigé dans la version 3.6.6-1.

Nous vous recommandons de mettre à jour vos paquets rabbitmq-server.