Bulletin d'alerte Debian

DLA-986-1 zookeeper -- Mise à jour de sécurité pour LTS

Date du rapport :
15 juin 2017
Paquets concernés :
zookeeper
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 863811.
Dans le dictionnaire CVE du Mitre : CVE-2017-5637.
Plus de précisions :

Zookeeper, un service pour l’entretien des informations de configuration, ne restreignait pas l’accès aux commandes wchp/wchc gourmandes en calculs. Cela pourrait aboutir à un déni de service à l’aide d’une consommation élevée de CPU.

Cette mise à jour désactive par défaut ces deux commandes. La nouvelle option de configuration 4lw.commands.whitelist peut être utilisée pour mettre en liste blanche de manière sélective des commandes (et l’ensemble complet des commandes peut être restauré avec « * »)

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.4.5+dfsg-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets zookeeper.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.