Bulletin d'alerte Debian

DLA-2519-1 pacemaker -- Mise à jour de sécurité pour LTS

Date du rapport :
6 janvier 2021
Paquets concernés :
pacemaker
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-16877, CVE-2018-16878, CVE-2020-25654.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été corrigées dans pacemaker, un gestionnaire de ressources de grappe de machines.

  • CVE-2018-16877

    Un défaut a été découvert dans la façon dont l’authentification client-serveur de pacemaker était implémentée. Un attaquant local pourrait utiliser ce défaut, et en combinaison avec d’autres faiblesses d’IPC, parvenir à une élévation locale des privilèges.

  • CVE-2018-16878

    Une vérification insuffisante affectant la préférence de processus non contrôlés peut conduire à un déni de service.

  • CVE-2020-25654

    Un défaut de contournement d’ACL a été découvert dans pacemaker. Un attaquant, ayant un compte local dans la grappe et dans le groupe haclient, pourrait utiliser une communication IPC avec divers démons directement pour réaliser certaines tâches qui auraient été empêchées par les ACL si elles étaient issues de la configuration.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1.1.24-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets pacemaker.

Pour disposer d'un état détaillé sur la sécurité de pacemaker, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/pacemaker.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.