Bulletin d'alerte Debian

DLA-2515-1 csync2 -- Mise à jour de sécurité pour LTS

Date du rapport :
4 janvier 2021
Paquets concernés :
csync2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-15523.
Plus de précisions :

Il a été découvert que csync2, un outil pour la synchronisation de l’informatique dématérialisée, ne vérifiait pas correctement la valeur renvoyée par les routines de sécurité GnuTLS. Il omettait d’appeler de façon répétitive cette fonction comme prévu dans la conception de cette API.

  • CVE-2019-15523

    Un problème a été découvert dans LINBIT csync2 jusqu’à la version 2.0. Il ne vérifiait pas correctement la valeur renvoyée GNUTLS_E_WARNING_ALERT_RECEIVED de la fonction gnutls_handshake(). Il omettait de rappeler cette fonction, comme prévu dans la conception de cette API.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.0-8-g175a01c-4+deb9u2.

Nous vous recommandons de mettre à jour vos paquets csync2.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.