Bulletin d'alerte Debian

DLA-1510-1 glusterfs -- Mise à jour de sécurité pour LTS

Date du rapport :
20 septembre 2018
Paquets concernés :
glusterfs
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 909215.
Dans le dictionnaire CVE du Mitre : CVE-2018-10904, CVE-2018-10907, CVE-2018-10911, CVE-2018-10913, CVE-2018-10914, CVE-2018-10923, CVE-2018-10926, CVE-2018-10927, CVE-2018-10928, CVE-2018-10929, CVE-2018-10930.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans GlusterFS, un système de fichiers réparti. Des problèmes de dépassement de tampon et traversée de répertoires pourraient conduire à une divulgation d'informations, un déni de service ou l'exécution de code arbitraire.

Pour résoudre ces vulnérabilités de sécurité les limitations suivantes ont été faites dans GlusterFS :

  • l’ouverture, la lecture et l’écriture de fichiers spéciaux tels que caractère ou bloc ne sont plus permis ;
  • io-stat xlator peut vider l’information de statistique uniquement pour le répertoire /run/gluster.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.5.2-2+deb8u4.

Nous vous recommandons de mettre à jour vos paquets glusterfs.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.