Bulletin d'alerte Debian

DLA-2041-1 debian-edu-config -- Mise à jour de sécurité pour LTS

Date du rapport :
18 décembre 2019
Paquets concernés :
debian-edu-config
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 946797.
Dans le dictionnaire CVE du Mitre : CVE-2019-3467.
Plus de précisions :

debian-edu-config, le paquet contenant les fichiers de configuration et les scripts pour Debian Edu (Skolelinux), contenait une configuration non sûre pour kadmin, le serveur administratif de Kerberos. Cette configuration non sûre permettait à n’importe quel utilisateur de modifier les mots de passe d’autres utilisateurs et de se faire passer pour eux, et éventuellement d’obtenir leurs privilèges.

Le bogue n’était pas exposé dans les frontaux de gestion officiellement documentés de Debian Edu, mais pourrait être utilisé par des utilisateurs locaux sachant utiliser le dorsal de Kerberos.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.818+deb8u3.

Nous vous recommandons de mettre à jour vos paquets debian-edu-config.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.