Bulletin d'alerte Debian

DSA-3942-1 supervisor -- Mise à jour de sécurité

Date du rapport :
13 août 2017
Paquets concernés :
supervisor
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 870187.
Dans le dictionnaire CVE du Mitre : CVE-2017-11610.
Plus de précisions :

Calum Hutton a signalé que le serveur XML-RPC dans supervisor, un système de contrôle d'état de processus, ne réalisait pas de validation des méthodes XML-RPC requises, permettant à un client authentifié d'envoyer une requête XML-RPC malveillante à supervisord qui exécutera des commandes d'interpréteur arbitraires sur le serveur avec le même utilisateur que supervisord.

La vulnérabilité a été corrigée en désactivant entièrement la recherche d'espace de noms imbriqué. Maintenant, supervisord appellera seulement les méthodes sur l'objet enregistré pour gérer les requêtes XML-RPC et non tous les objets fils qu'il peut contenir, cassant éventuellement les configurations existantes. Actuellement, il n'y a pas de greffon officiellement connu disponible qui puisse utiliser les espaces de noms imbriqués. Les greffons qui utilisent un espace de noms unique continueront à fonctionner comme avant. Vous trouverez des détails sur la publication de l'amont à l'adresse https://github.com/Supervisor/supervisor/issues/964.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 3.0r1-1+deb8u1.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 3.3.1-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets supervisor.