Bulletin d'alerte Debian

DLA-1404-1 lava-server -- Mise à jour de sécurité pour LTS

Date du rapport :
28 juin 2018
Paquets concernés :
lava-server
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-12564.
Plus de précisions :
  • CVE-2018-12564

    En utilisant la fonction d’ajout d’URL dans la page soumise, un utilisateur pourrait lire n’importe quel fichier sur le serveur, lisible par lavaserver et constitué de YAML valable. Aussi, avec ce correctif, la fonction est de nouveau désactivée.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2014.09.1-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets lava-server.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.