Bulletin d'alerte Debian

DLA-1726-1 bash -- Mise à jour de sécurité pour LTS

Date du rapport :
25 mars 2019
Paquets concernés :
bash
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-9401, CVE-2019-9924.
Plus de précisions :

Deux problèmes ont été corrigés dans bash, l’interpréteur de commandes GNU Bourne-Again Shell.

  • CVE-2016-9401

    Défaut de segmentation dans popd interne lorsqu’il est appelé avec des décalages négatifs hors intervalle.

  • CVE-2019-9924

    Sylvain Beucler a découvert qu’il est possible d’appeler des commandes contenant une barre oblique dans le mode restreint (rbash) en l’ajoutant dans un tableau BASH_CMDS.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.3-11+deb8u2.

Nous vous recommandons de mettre à jour vos paquets bash.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.