LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1982-1 openafs

Bulletin d'alerte Debian

DLA-1982-1 openafs -- Mise à jour de sécurité pour LTS

Date du rapport :

6 novembre 2019

Paquets concernés :

openafs

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 943587.
Dans le dictionnaire CVE du Mitre : CVE-2019-18601, CVE-2019-18602, CVE-2019-18603.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenAFS, un système de fichiers distribué.

• CVE-2019-18601

  OpenAFS est prédisposé à un déni de service à partir d’un accès à des données non sérialisées car des attaquants distants peuvent créer une série d’appels VOTE_Debug RPC pour planter le serveur de base de données dans le gestionnaire RPC SVOTE_Debug.

• CVE-2019-18602

  OpenAFS est prédisposé à une vulnérabilité de divulgation d'informations car des scalaires non initialisés sont envoyés par le réseau à un pair.

• CVE-2019-18603

  OpenAFS est prédisposé à une fuite d'informations dans certaines conditions d’erreurs car des variables RPC de sortie non initialisées sont envoyées par le réseau à un pair.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u9.

Nous vous recommandons de mettre à jour vos paquets openafs.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.