Bulletin d'alerte Debian

DLA-2571-1 openvswitch -- Mise à jour de sécurité pour LTS

Date du rapport :
19 février 2021
Paquets concernés :
openvswitch
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8011, CVE-2017-9214, CVE-2018-17204, CVE-2018-17206, CVE-2020-27827, CVE-2020-35498.
Plus de précisions :

Plusieurs problèmes ont été découverts dans openvswitch, un commutateur Ethernet virtuel à base logicielle, utilisable en production et multicouche.

  • CVE-2020-35498

    Des attaques par déni de service, dans lesquelles des paquets réseau contrefaits pouvaient faire que la recherche de paquets ignore les champs d’en-têtes réseau pour les couches 3 et 4. Les paquets réseau contrefaits étaient des paquets IPv4 ou IPv6 ordinaires avec des remplissages Ethernet au-dessus de 255 octets. Cela provoquait l'esquive de l’analyse des champs d’en-tête après la couche 2 par les tests de validité.

  • CVE-2020-27827

    Attaques par déni de service en utilisant des paquets LLDP contrefaits.

  • CVE-2018-17206

    Problème de lecture excessive de tampon lors du décodage d’action BUNDLE.

  • CVE-2018-17204

    Échec d’assertion dû à une absence de validation d’information (groupe, type et commande) dans le décodeur OF1.5.

  • CVE-2017-9214

    Lecture excessive de tampon provoquée par un dépassement d'entier non signé par le bas.

  • CVE-2015-8011

    Un dépassement de tampon dans la fonction lldp_decode dans daemon/protocols/lldp.c dans lldpd avant la version 0.8.0 permet à des attaquants distants de provoquer un déni de service (plantage du démon) et éventuellement d’exécuter du code arbitraire à l’aide de vecteurs impliquant une vaste gestion d’adresses et de limites TLV.

    Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.6.10-0+deb9u1. Cette version est une nouvelle version de l’amont.

    Nous vous recommandons de mettre à jour vos paquets openvswitch.

    Pour disposer d'un état détaillé sur la sécurité de openvswitch, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openvswitch.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.