Bulletin d'alerte Debian

DLA-1495-1 git-annex -- Mise à jour de sécurité pour LTS

Date du rapport :
5 septembre 2018
Paquets concernés :
git-annex
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 873088.
Dans le dictionnaire CVE du Mitre : CVE-2017-12976, CVE-2018-10857, CVE-2018-10859.
Plus de précisions :

Il a été découvert que le paquet git-annex possédait plusieurs vulnérabilités lorsqu’il est utilisé avec des données non fiables. Cela pourrait conduire à l’exécution de commande arbitraire et l’exfiltration de données chiffrées.

  • CVE-2017-12976

    git-annex avant 6.20170818 permettait à des attaquants distants d’exécuter des commandes arbitraires à l'aide d'une URL SSH ayant un caractère tiret initial dans le nom d’hôte, comme par exemple, avec ssh://-eProxyCommand= URL, un problème concernant CVE-2017-9800, CVE-2017-12836, CVE-2017-1000116, et CVE-2017-1000117.

  • CVE-2018-10857

    git-annex est vulnérable à une exposition de données privées et à une attaque par exfiltration. Il pourrait exposer le contenu de fichiers situés en dehors du dépôt de git-annex, ou du contenu d’un serveur web privé sur localhost ou LAN.

  • CVE-2018-10859

    git-annex est vulnérable à une divulgation d’informations lors du déchiffrement de fichiers. Un serveur contrefait pour une opération distante spéciale pourrait duper git-annex pour déchiffrer un fichier qui était chiffré avec la clef GPG de l’utilisateur. Cette attaque pourrait être utilisée pour divulguer des données chiffrées qui n'avaient jamais été stockées dans git-annex

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 5.20141125+oops-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets git-annex.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.