Bulletin d'alerte Debian

DLA-1982-1 openafs -- Mise à jour de sécurité pour LTS

Date du rapport :
6 novembre 2019
Paquets concernés :
openafs
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 943587.
Dans le dictionnaire CVE du Mitre : CVE-2019-18601, CVE-2019-18602, CVE-2019-18603.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans OpenAFS, un système de fichiers distribué.

  • CVE-2019-18601

    OpenAFS est prédisposé à un déni de service à partir d’un accès à des données non sérialisées car des attaquants distants peuvent créer une série d’appels VOTE_Debug RPC pour planter le serveur de base de données dans le gestionnaire RPC SVOTE_Debug.

  • CVE-2019-18602

    OpenAFS est prédisposé à une vulnérabilité de divulgation d'informations car des scalaires non initialisés sont envoyés par le réseau à un pair.

  • CVE-2019-18603

    OpenAFS est prédisposé à une fuite d'informations dans certaines conditions d’erreurs car des variables RPC de sortie non initialisées sont envoyées par le réseau à un pair.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u9.

Nous vous recommandons de mettre à jour vos paquets openafs.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.