Bulletin d'alerte Debian
DLA-1982-1 openafs -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 6 novembre 2019
- Paquets concernés :
- openafs
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 943587.
Dans le dictionnaire CVE du Mitre : CVE-2019-18601, CVE-2019-18602, CVE-2019-18603. - Plus de précisions :
-
Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenAFS, un système de fichiers distribué.
- CVE-2019-18601
OpenAFS est prédisposé à un déni de service à partir d’un accès à des données non sérialisées car des attaquants distants peuvent créer une série d’appels VOTE_Debug RPC pour planter le serveur de base de données dans le gestionnaire RPC SVOTE_Debug.
- CVE-2019-18602
OpenAFS est prédisposé à une vulnérabilité de divulgation d'informations car des scalaires non initialisés sont envoyés par le réseau à un pair.
- CVE-2019-18603
OpenAFS est prédisposé à une fuite d'informations dans certaines conditions d’erreurs car des variables RPC de sortie non initialisées sont envoyées par le réseau à un pair.
Pour Debian 8
Jessie
, ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u9.Nous vous recommandons de mettre à jour vos paquets openafs.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2019-18601