Bulletin d'alerte Debian

DLA-1409-1 mosquitto -- Mise à jour de sécurité pour LTS

Date du rapport :
29 juin 2018
Paquets concernés :
mosquitto
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-7651, CVE-2017-7652, CVE-2017-7652.
Plus de précisions :
  • CVE-2017-7651

    Correctif pour éviter une consommation extraordinaire de mémoire par un paquet CONNECT contrefait d’un client non authentifié.

  • CVE-2017-7652

    Dans le cas où tous les descripteurs de sockets/fichier sont épuisés, il s’agit d’un correctif pour éviter des valeurs de configuration par défaut après le rechargement de configuration avec un signal SIGHUP.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.4-2+deb8u2.

Nous vous recommandons de mettre à jour vos paquets mosquitto.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.