LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1972-1 mosquitto

Bulletin d'alerte Debian

DLA-1972-1 mosquitto -- Mise à jour de sécurité pour LTS

Date du rapport :

26 octobre 2019

Paquets concernés :

mosquitto

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2017-7655, CVE-2018-12550, CVE-2018-12551, CVE-2019-11779.

Plus de précisions :

Plusieurs problèmes ont été découverts dans mosquitto, un courtier de message compatible MQTT version 3.1/3.1.1.

• CVE-2017-7655

  Une vulnérabilité de déréférencement de pointeur NULL dans la bibliothèque Mosquitto pourrait conduire à des plantages pour ces applications utilisant la bibliothèque.

• CVE-2018-12550

  Un fichier d’ACL avec aucune déclaration était traité comme ayant une politique « allow » par défaut. Le nouveau comportement d’un fichier vide est une politique d’accès « denied » par défaut (cela est en conformité avec toutes les nouvelles publications).

• CVE-2018-12551

  Des données d’authentification mal formées dans le fichier de mot de passe pourraient permettre aux clients de contourner l’authentification et obtenir un accès au courtier.

• CVE-2019-11779

  Correction pour traiter un paquet contrefait SUBSCRIBE contenant un sujet consistant en approximativement 65400 ou plus caractères « / » (réglant TOPIC_HIERARCHY_LIMIT à 200)

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.3.4-2+deb8u4.

Nous vous recommandons de mettre à jour vos paquets mosquitto.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.