LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1565-1 glusterfs

Bulletin d'alerte Debian

DLA-1565-1 glusterfs -- Mise à jour de sécurité pour LTS

Date du rapport :

5 novembre 2018

Paquets concernés :

glusterfs

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-14651, CVE-2018-14652, CVE-2018-14653, CVE-2018-14659, CVE-2018-14661.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans GlusterFS, un système de fichiers pour grappe. Des problèmes de dépassement de tampon et de traversée de répertoires pourraient conduire à une divulgation d'informations, un déni de service ou à l'exécution de code arbitraire.

• CVE-2018-14651

  Il a été découvert que le correctif pour CVE-2018-10927, CVE-2018-10928, CVE-2018-10929, CVE-2018-10930 et CVE-2018-10926 était incomplet. Un attaquant distant authentifié pourrait utiliser un de ces défauts pour exécuter du code arbitraire, créer des fichiers arbitraires ou causer un déni de service sur les nœuds de serveur glusterfs à l’aide de liens symboliques vers des chemins relatifs.

• CVE-2018-14652

  Le système de fichiers Gluster est vulnérable à un dépassement de tampon dans le traducteur «·fonctions/index·» à l’aide du code de traitement xattr GF_XATTR_CLRLK_CMD dans la fonction pl_getxattr. Un attaquant distant authentifié pourrait exploiter cela sur un volume monté pour causer un déni de service.

• CVE-2018-14653

  Le système de fichiers Gluster est vulnérable à un dépassement de tampon basé sur le tas dans la fonction __server_getspec à l’aide d’un message RPC gf_getspec_req. Un attaquant distant authentifié pourrait exploiter cela pour provoquer un déni de service ou avoir un impact potentiel non précisé.

• CVE-2018-14659

  Le système de fichiers Gluster est vulnérable à une attaque par déni de service lors d’une utilisation de xattr GF_XATTR_IOSTATS_DUMP_KEY. Un attaquant authentifié pourrait exploiter cela en montant un volume Gluster et en répétant l’appel «·setxattr(2)·» pour déclencher un vidage d’état et créer un nombre arbitraire de fichiers dans le répertoire d’exécution du serveur.

• CVE-2018-14661

  Il a été découvert que l’utilisation de la fonction snprintf dans le traducteur fonction/verrous du serveur de glusterfs était vulnérable à une attaque de chaîne de formatage. Un attaquant distant authentifié pourrait utiliser ce défaut pour provoquer un déni de service distant.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.5.2-2+deb8u5.

Nous vous recommandons de mettre à jour vos paquets glusterfs.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.