Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2815-1 munin

Bulletin d'alerte Debian

DSA-2815-1 munin -- Déni de service

Date du rapport :

9 décembre 2013

Paquets concernés :

munin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-6048, CVE-2013-6359.

Plus de précisions :

Christoph Biedl a découvert deux vulnérabilités de déni de service dans munin, un environnement de représentation graphique de réseau. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-6048

  Le module Munin::Master::Node de munin ne valide pas correctement certaines des données envoyées par un nœud. Un nœud malveillant pourrait exploiter cela pour induire le processus munin-html dans une boucle infinie avec épuisement de la mémoire sur le maître munin.

• CVE-2013-6359

  Un nœud malveillant, ayant un greffon activé utilisant multigraph comme nom d’un service multigraph, peut faire échouer la collecte de données pour tout le nœud sur lequel le greffon fonctionne.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.0.6-4+deb7u2.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 2.0.18-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.0.18-1.

Nous vous recommandons de mettre à jour vos paquets munin.