Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2899-1 openafs

Debians sikkerhedsbulletin

DSA-2899-1 openafs -- sikkerhedsopdatering

Rapporteret den:

9. apr 2014

Berørte pakker:

openafs

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-0159, CVE-2014-2852.

Yderligere oplysninger:

Michael Meffie opdagede at i OpenAFS, et distributeret filsystem, kunne en angriber med mulighed for at forbinde sig til en OpenAFS-filserver, udløse et bufferoverløb, hvilket fik filserveren til at gå ned samt potentielt tillade udførelse af vilkårlig kode.

Desuden løser denne opdatering et mindre lammelsesangrebsproblem: Serverens lyttetråd hang i omkring et sekund, når den modtog en ugyldig pakke, hvilket gav mulighed for at sløve serveren ned til en ubrugbar tilstand, når der blev sendt sådanne pakker til den.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.4.12.1+dfsg-4+squeeze3.

I den stabile distribution (wheezy), er dette problem rettet i version 1.6.1-3+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 1.6.7-1.

Vi anbefaler at du opgraderer dine openafs-pakker.