Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2672-1 kfreebsd-9

Bulletin d'alerte Debian

DSA-2672-1 kfreebsd-9 -- Conflit d'interprétation

Date du rapport :

22 mai 2013

Paquets concernés :

kfreebsd-9

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 706414.
Dans le dictionnaire CVE du Mitre : CVE-2013-3266.

Plus de précisions :

Adam Nowacki a découvert que la nouvelle implémentation NFS de FreeBSD traite une requête READDIR contrefaite qui donne l'instruction de faire fonctionner un système de fichiers sur un nœud de fichier comme s’il s’agissait d’un nœud de répertoire, avec pour conséquence un plantage de noyau ou éventuellement l'exécution de code arbitraire.

Le noyau kfreebsd-8 dans la distribution oldstable n’active pas la nouvelle implémentation NFS. Le noyau Linux n’est pas concerné par cette vulnérabilité.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 9.0-10+deb70.1.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 9.0-11.

Nous vous recommandons de mettre à jour vos paquets kfreebsd-9.