Debian Biztonsági Figyelmeztetésben

DLA-2515-1 csync2 -- LTS biztonsági frissítés

Bejelentés dátuma:
2021. jan. 04.
Érintett csomagok:
csync2
Sebezhető:
Igen
Biztonsági adatbázis hivatkozások:
A Mitre CVE szótárában: CVE-2019-15523.
Bővebb információ:

Felfedezték, hogy a csync2, a klaszter szinkronizációs eszköz nem megfelelően ellenőrzi a GnuTLS biztonsági ejárás visszatérési értékét. Kevesebbszer hívják meg ezt a függvént, mint azt az API kialakítása indokolná.

  • CVE-2019-15523

    Problémát fedeztek fel a LINBIT csync2 through 2.0-ig. Nem megfelelően ellenőrzi gnutls_handshake() funkció GNUTLS_E_WARNING_ALERT_RECEIVED változójának értékét. Nem hívja meg ezt a függvényt újra, mint azt az API felépítése megkívánja.

A Debian 9 stretch esetén a probléma a 2.0-8-g175a01c-4+deb9u2 verzióban javításra került.

Azt tanácsoljuk, hogy frissítsd a csync2 csomagjaidat.

További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: https://wiki.debian.org/LTS