LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-884-1 collectd

Bulletin d'alerte Debian

DLA-884-1 collectd -- Mise à jour de sécurité pour LTS

Date du rapport :

4 avril 2017

Paquets concernés :

collectd

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-7401.

Plus de précisions :

Il a été découvert qu’il existait une vulnérabilité de boucle infinie dans collectd, un démon de supervision et de collecte de statistiques.

Lorsqu'une Signature part correcte est reçue par une instance configurée sans l’option AuthFile, une boucle infinie apparait dans la routine parse_packet à cause d’une incrémentation manquante de pointeur pour la prochaine partie non traitée.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 5.1.0-3+deb7u3 de collectd.

Nous vous recommandons de mettre à jour vos paquets collectd.