Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2899-1 openafs

Bulletin d'alerte Debian

DSA-2899-1 openafs -- Mise à jour de sécurité

Date du rapport :

9 avril 2014

Paquets concernés :

openafs

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0159, CVE-2014-2852.

Plus de précisions :

Michael Meffie a découvert que dans OpenAFS, un système de fichiers distribué, un attaquant qui a la capacité de se connecter à un serveur de fichiers OpenAFS peut déclencher un dépassement de tampon, plantant le serveur de fichiers, et éventuellement permettant l'exécution de code arbitraire.

En outre, cette mise à jour résout un léger problème de déni de service : la tâche d'écoute du serveur se bloque pendant environ une seconde quand elle reçoit un paquet invalide, offrant l'occasion de ralentir le serveur jusqu'à ce qu'il devienne inutilisable en envoyant de tels paquets.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1.4.12.1+dfsg-4+squeeze3.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.6.1-3+deb7u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.6.7-1.

Nous vous recommandons de mettre à jour vos paquets openafs.