Bulletin d'alerte Debian

DLA-2886-1 slurm-llnl -- Mise à jour de sécurité pour LTS

Date du rapport :

17 janvier 2022

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 931880, Bogue 961406, Bogue 974721, Bogue 988439.
Dans le dictionnaire CVE du Mitre : CVE-2019-12838, CVE-2020-12693, CVE-2020-27745, CVE-2021-31215.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans SLURM (« Simple Linux Utility for Resource Management »), un système de gestion de ressources et un ordonnanceur de tâches pour grappe, qui pourraient avoir pour conséquences un déni de service, la divulgation d'informations ou une élévation de privilèges.

CVE-2019-12838
SchedMD Slurm permet des attaques d'injection SQL.
CVE-2020-12693
Dans les rares cas où Message Aggregation est activé, Slurm permet un contournement d'authentification à l'aide d'un chemin ou d'un canal alternatif. Une situation de compétition permet à un utilisateur de charger un processus en tant qu'utilisateur arbitraire.
CVE-2020-27745
Dépassement de tampon RPC dans le greffon PMIx MPI.
CVE-2021-31215
SchedMD Slurm permet l'exécution de code distant en tant que SlurmUser parce que l'utilisation d'un script PrologSlurmctld ou EpilogSlurmctld conduit à un mauvais traitement de l'environnement.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 16.05.9-1+deb9u5.

Nous vous recommandons de mettre à jour vos paquets slurm-llnl.

Pour disposer d'un état détaillé sur la sécurité de slurm-llnl, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/slurm-llnl.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.