Bulletin d'alerte Debian
DLA-0021-1 fail2ban -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 26 juillet 2014
- Paquets concernés :
- fail2ban
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-7176, CVE-2013-7177.
- Plus de précisions :
-
- Utilisation de failregex ancré pour les filtres afin d'éviter un
possible déni de service. Correction importée manuellement de l'état courant
de la branche 0.8 (à partir de 0.8.13-29-g09b2016) :
- CVE-2013-7176 : postfix.conf – ancré au début, attend le préfixe « postfix/smtpd » dans la ligne de journalisation ;
- CVE-2013-7177 : cyrus-imap.conf – ancré au début et remanié pour n'avoir qu'un seul failregex ;
- couriersmtp.conf – ancré des deux côtés ;
- exim.conf – versions ancrées au début récupérées à partir de exim.conf et exim-spam.conf ;
- lighttpd-fastcgi.conf – ancré au début, récupéré à partir de suhosin.conf (copié à partir de la version de Wheezy).
- intercepte aussi les échecs de connexions sécurisées (imap/pop3) pour cyrus-imap. La régression a été introduite lors du renfort des failregex dans 0.8.11 (bd175f) bogue Debian n° 755173 ;
- cyrus-imap : intercepte les tentatives
user not found.
Pour Debian 6
Squeeze
, ces problèmes ont été corrigés dans la version 0.8.4-3+squeeze3 de fail2ban. - Utilisation de failregex ancré pour les filtres afin d'éviter un
possible déni de service. Correction importée manuellement de l'état courant
de la branche 0.8 (à partir de 0.8.13-29-g09b2016) :