LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1725-1 rsync

Bulletin d'alerte Debian

DLA-1725-1 rsync -- Mise à jour de sécurité pour LTS

Date du rapport :

24 mars 2019

Paquets concernés :

rsync

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843, CVE-2018-5764.

Plus de précisions :

Trail de Bits a utilisé les outils automatiques de découverte de vulnérabilité développés par « Cyber Grand Challenge » de DARPA pour inspecter zlib. Comme rsync, un outil rapide, polyvalent, de copie de fichiers distants (ou locaux), utilise une copie embarquée de zlib, ces problèmes sont aussi présents dans rsync.

• CVE-2016-9840

  Dans le but d’éviter un comportement indéfini, suppression de l’optimisation du pointeur de décalage, car ce n’est pas conforme avec la norme C.

• CVE-2016-9841

  Utilisation seule d’une post-incrémentation pour être conforme avec la norme du langage C.

• CVE-2016-9842

  Dans le but d’éviter un comportement indéfini, ne pas modifier les valeurs négatives, car ce n’est pas conforme avec la norme du langage C.

• CVE-2016-9843

  Dans le but d’éviter un comportement indéfini, ne pas pré-décrémenter un pointeur dans le calcul CRC petit boutiste, car ce n’est pas conforme avec la norme du langage C.

• CVE-2018-5764

  Empêchement pour des attaquants distants d’être capable de contourner le mécanisme de protection argument-vérification en ignorant --protect-args lorsque déjà envoyé par le client.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.1.1-3+deb8u2.

Nous vous recommandons de mettre à jour vos paquets rsync.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.