Bulletin d'alerte Debian

DSA-3871-1 zookeeper -- Mise à jour de sécurité

Date du rapport :
1er juin 2017
Paquets concernés :
zookeeper
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-5637.
Plus de précisions :

Zookeeper, un service pour maintenir des informations de configuration, ne restreint pas l'accès aux commandes wchp/wchc, coûteuses en calcul, qui pourrait avoir pour conséquence un déni de service par une consommation importante du microprocesseur.

Cette mise à jour désactive par défaut ces deux commandes. La nouvelle option de configuration 4lw.commands.whitelist peut être utilisée pour autoriser des commandes de façon sélective (et le jeu complet de commandes peut être restauré avec « * »).

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 3.4.5+dfsg-2+deb8u2.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets zookeeper.