Bulletin d'alerte Debian

DLA-1965-1 nfs-utils -- Mise à jour de sécurité pour LTS

Date du rapport :
19 octobre 2019
Paquets concernés :
nfs-utils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 940848.
Dans le dictionnaire CVE du Mitre : CVE-2019-3689.
Plus de précisions :

Dans le paquet nfs-utils fournissant la prise en charge de fichiers NFS (Network File System) incluant le démon rpc.statd, le répertoire /var/lib/nfs est possédé par statd:nogroup. Ce répertoire contient des fichiers possédés et gérés par le superutilisateur. Si statd est compromis, il peut alors amener les processus exécutés avec les droits du superutilisateur à créer ou écraser des fichiers dans tout le système.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.2.8-9+deb8u1.

Nous vous recommandons de mettre à jour vos paquets nfs-utils.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.