Bulletin d'alerte Debian

DLA-925-1 kedpm -- Mise à jour de sécurité pour LTS

Date du rapport :
29 avril 2017
Paquets concernés :
kedpm
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 860817.
Dans le dictionnaire CVE du Mitre : CVE-2017-8296.
Plus de précisions :

Une vulnérabilité de divulgation d'informations a été découverte dans kedpm, un gestionnaire de mots de passe compatible avec le format de fichier du gestionnaire de mots de passe figaro. Le fichier d’historique peut dévoiler le mot de passe principal s’il est fourni sur la ligne de commande. Le nom des entrées créées ou lues dans le gestionnaire est aussi exposé dans le fichier d’historique.

Pour Debian 7 Wheezy, le problème de divulgation de mot de passe a été corrigé dans la version 0.5.0-4+deb7u1. Les problèmes d’entrées ne sont pas fixées car cela nécessitent une recomposition du logiciel.

Nous vous recommandons de mettre à niveau vos paquets kedpm. Remarquez que kedpm a été retiré de la publication à venir de Debian (Stretch) et vous devriez migrer vers un autre gestionnaire du fait que kedpm est abandonné.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.

Pour Debian 6 Squeeze, ces problèmes ont été résolus dans la version 0.5.0-4+deb7u1

de kedpm