Bulletin d'alerte Debian

DLA-1636-1 aria2 -- Mise à jour de sécurité pour LTS

Date du rapport :
22 janvier 2019
Paquets concernés :
aria2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 918058.
Dans le dictionnaire CVE du Mitre : CVE-2019-3500.
Plus de précisions :

aria2 (un utilitaire léger de téléchargement en ligne de commande) peut stocker les identifiants des utilisateurs dans un fichier de journal en utilisant l’option --log. Cela peut permettre à des utilisateurs locaux d’obtenir des informations sensibles en lisant ce fichier.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.18.8-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets aria2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.