Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2832-1 memcached

Bulletin d'alerte Debian

DSA-2832-1 memcached -- Plusieurs vulnérabilités

Date du rapport :

1^er janvier 2014

Paquets concernés :

memcached

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 706426, Bogue 733643.
Dans le dictionnaire CVE du Mitre : CVE-2011-4971, CVE-2013-7239.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans memcached, un système de gestion d'objets en mémoire de haute performance. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2011-4971

  Stefan Bucur a signalé que memcached pourrait être sujet à un plantage par l'envoi d'un paquet contrefait pour l'occasion.

• CVE-2013-7239

  L'authentification SASL pourrait être contournée du fait d'un défaut relatif à la gestion du statut d'authentification de SASL. Avec une requête contrefaite pour l'occasion, un attaquant distant pourrait s'authentifier avec des certificats SASL invalides.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.5-1+deb6u1. Attention : le correctif pour CVE-2013-7239 n'est pas appliqué à la distribution oldstable puisque la prise en charge de SASL n'est pas activée dans cette version. Cette mise à jour fournit aussi un correctif pour CVE-2013-0179 qui a déjà été corrigé pour la version stable.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.13-0.2+deb7u1.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets memcached.