Bulletin d'alerte Debian

DLA-1723-1 cron -- Mise à jour de sécurité pour LTS

Date du rapport :
21 mars 2019
Paquets concernés :
cron
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 809167.
Dans le dictionnaire CVE du Mitre : CVE-2017-9525, CVE-2019-9704, CVE-2019-9705, CVE-2019-9706.
Plus de précisions :

Divers problèmes de sécurité ont été découverts dans le planificateur CRON.

  • CVE-2017-9525

    Correction du crontab de groupe contre une élévation de privilèges à l’aide du script postinst du paquet Debian, comme décrit par Alexander Peslyak (Solar Designer) dans http://www.openwall.com/lists/oss-security/2017/06/08/3

  • CVE-2019-9704

    Déni de service : correction de renvoi non vérifié de calloc(). Florian Weimer a découvert qu’une vérification manquante pour la valeur de retour de calloc() pourrait planter le démon. Cela pourrait être déclenché par une très grande crontab créée par un utilisateur.

  • CVE-2019-9705

    Limitation du nombre de lignes de crontab à mille pour empêcher un utilisateur malveillant de créer une crontab excessive. Le démon écrira dans le journal un avertissement pour les fichiers existants, et crontab(1) refusera d’en créer de nouveaux.

  • CVE-2019-9706

    Un utilisateur a signalé une condition d’utilisation de mémoire après libération dans le démon cron, conduisant à un scénario possible de déni de service par plantage du démon.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.0pl1-127+deb8u2.

Nous vous recommandons de mettre à jour vos paquets cron.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.