Bulletin d'alerte Debian

DLA-1513-1 openafs -- Mise à jour de sécurité pour LTS

Date du rapport :

21 septembre 2018

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 908616.
Dans le dictionnaire CVE du Mitre : CVE-2018-16947, CVE-2018-16948, CVE-2018-16949.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenAFS, un système de fichiers distribué.

CVE-2018-16947
Le processus du contrôleur de sauvegarde sur bande accepte les RPC entrants mais n'exige pas (ou n'autorise pas) l'authentification de ces RPC. La gestion de ces RPC permet de réaliser des opérations avec les accréditations de l'administrateur, incluant le vidage et la restauration du contenu des volumes et la manipulation de la base de données de sauvegarde.
CVE-2018-16948
Plusieurs routines du serveur RPC n'initialisent pas totalement les variables de sortie avant de se terminer, divulguant des contenus de la mémoire à la fois à partir de la pile et du tas. À cause du gestionnaire des fonctions de cache d’OpenAFS comme serveur Rx pour le service AFSCB, les clients sont aussi susceptible d’une fuite d'informations.
CVE-2018-16949
Plusieurs types de données utilisées comme variable d’entrée RPC étaient implémentés comme types de tableau illimité, limités seulement par le champ de longueur inhérent à 32 bits à 4 GB. Un attaquant authentifié pourrait envoyer, ou réclamer d’envoyer, des valeurs d’entrée élevées pour utiliser les ressources du serveur attendant ces entrées, conduisant à un déni de service pour d’autres utilisateurs.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u8.

Nous vous recommandons de mettre à jour vos paquets openafs.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.