Bulletin d'alerte Debian

DLA-2447-1 pacemaker -- Mise à jour de sécurité pour LTS

Date du rapport :
12 novembre 2020
Paquets concernés :
pacemaker
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 973254.
Dans le dictionnaire CVE du Mitre : CVE-2020-25654.
Plus de précisions :

Un défaut de contournement d’ACL a été découvert dans pacemaker, un gestionnaire de ressources de grappe. Un attaquant ayant un compte local dans la grappe et dans le groupe haclient peut utiliser une communication inter-processus avec divers démons pour réaliser directement certaines tâches qui devraient être empêchées par les ACL si elles étaient confrontées à la configuration.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 1.1.16-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets pacemaker.

Pour disposer d'un état détaillé sur la sécurité de pacemaker, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/pacemaker.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.