LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1671-1 coturn

Bulletin d'alerte Debian

DLA-1671-1 coturn -- Mise à jour de sécurité pour LTS

Date du rapport :

11 février 2019

Paquets concernés :

coturn

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-4056, CVE-2018-4058, CVE-2018-4059.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans coTURN, un serveur TURN et STUN pour VoIP.

• CVE-2018-4056

  Une vulnérabilité d’injection SQL a été découverte dans le portail web d’administration de coTURN. Comme l’interface web d’administration est partagée avec la production, il n’est malheureusement pas possible de filtrer aisément les accès extérieurs et cette mise à jour de sécurité désactive complètement l’interface web. Les utilisateurs devraient utiliser à la place l’interface locale en ligne de commande.

• CVE-2018-4058

  La configuration par défaut autorise une redirection de boucle locale non sécurisée. Un attaquant distant ayant accès à l’interface TURN peut utiliser cette vulnérabilité pour obtenir l’accès à des services qui ne devraient être que locaux.

• CVE-2018-4059

  La configuration par défaut utilise un mot de passe vide pour l’interface d’administration locale en ligne de commande. Un attaquant avec accès à la console locale (soit un attaquant local, soit un attaquant distant tirant parti de CVE-2018-4058) pourrait augmenter ses droits à ceux de l’administrateur de serveur coTURN.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.2.1.2-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets coturn.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.