Bulletin d'alerte Debian

DLA-2735-1 ceph -- Mise à jour de sécurité pour LTS

Date du rapport :
11 août 2021
Paquets concernés :
ceph
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 921948, Bogue 921947, Bogue 956142, Bogue 975300, Bogue 988889.
Dans le dictionnaire CVE du Mitre : CVE-2018-14662, CVE-2018-16846, CVE-2020-1760, CVE-2020-10753, CVE-2021-3524.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Ceph, un système de fichiers et de stockage distribué.

  • CVE-2018-14662

    Des utilisateurs ceph authentifiés autorisés seulement en lecture pourraient dérober les clés dm-crypt utilisées pour le chiffrement de disque ceph.

  • CVE-2018-16846

    Des utilisateurs authentifiés de passerelle ceph RGW peuvent provoquer un déni de service à l’encontre d’OMAP exploitant les indices de bucket.

  • CVE-2020-10753

    Un défaut a été découvert dans le stockage Ceph RadosGW de Red Hat (Ceph Object Gateway). La vulnérabilité concerne l’injection d’en-têtes HTTP à l'aide d'une étiquette CORS ExposeHeader. Le caractère de nouvelle ligne dans l’étiquette ExposeHeader dans le fichier de configuration CORS génère une injection d’en-tête dans la réponse quand la requête CORS est faite.

  • CVE-2020-1760

    Un défaut a été découvert dans le Ceph Object Gateway, où il gère les requêtes envoyées par un utilisateur anonyme dans Amazon S3. Ce défaut pourrait conduire à des attaques XSS possibles à cause du manque de neutralisation correcte d’entrée non fiable.

  • CVE-2021-3524

    Un défaut a été découvert dans le stockage Ceph RadosGW de Red Hat (Ceph Object Gateway). La vulnérabilité concerne l’injection d’en-têtes HTTP à l'aide d'une étiquette CORS ExposeHeader. Le caractère de nouvelle ligne dans l’étiquette ExposeHeader dans le fichier de configuration CORS génère une injection d’en-tête dans la réponse quand la requête CORS est faite. De plus, la correction de bogue précédente pour le CVE-2020-10753 ne prenait pas en compte l’utilisation de \r comme séparateur d’en-tête, par conséquent un nouveau défaut était créé.

Pour Debian 9 « Stretch », ces problèmes ont été corrigés dans la version 10.2.11-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ceph.

Pour disposer d'un état détaillé sur la sécurité de ceph, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ceph.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.