LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1639-1 systemd

Bulletin d'alerte Debian

DLA-1639-1 systemd -- Mise à jour de sécurité pour LTS

Date du rapport :

23 janvier 2019

Paquets concernés :

systemd

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 918841, Bogue 918848.
Dans le dictionnaire CVE du Mitre : CVE-2018-16864, CVE-2018-16865.

Plus de précisions :

Plusieurs vulnérabilités ont été trouvées dans le composant journald de systemd qui peuvent conduire à un plantage ou à l’exécution de code.

• CVE-2018-16864

  Une allocation de mémoire sans limites, qui pourrait conduire à un conflit de pile avec une autre région de mémoire, a été découverte dans systemd-journald lorsque plusieurs entrées sont envoyées à la socket de journal. Un attaquant local, ou distant si systemd-journal-remote est utilisé, peut utiliser ce défaut pour planter systemd-journald ou exécuter du code avec les privilèges de journald .

• CVE-2018-16865

  Une allocation de mémoire sans limites, qui pourrait conduire à un conflit de pile avec une autre région de mémoire, a été découverte dans systemd-journald lorsqu’un programme avec des arguments longs de ligne de commande appelle syslog. Un attaquant local peut utiliser ce défaut pour planter systemd-journald ou augmenter ses privilèges. Les versions jusqu’à la version 240 sont vulnérables.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 215-17+deb8u9.

Nous vous recommandons de mettre à jour vos paquets systemd.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.