Bulletin d'alerte Debian

DLA-2141-1 yubikey-val -- Mise à jour de sécurité pour LTS

Date du rapport :
13 mars 2020
Paquets concernés :
yubikey-val
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-10184, CVE-2020-10185.
Plus de précisions :

Les CVE suivants ont été signalés à propos de yubikey-val.

  • CVE-2020-10184

    Le terminal de vérification dans le serveur de vérification d’YubiKey avant la version 2.40 ne vérifiait pas la longueur des requêtes SQL. Cela permettait à des attaquants distants de provoquer un déni de service, autrement dit, une injection SQL.

  • CVE-2020-10185

    Le terminal de vérification dans le serveur de vérification d’YubiKey avant la version 2.40 permettait à des attaquants distants de rejouer un OTP.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2.27-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets yubikey-val.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.