Säkerhetsbulletin från Debian
DSA-2899-1 openafs -- säkerhetsuppdatering
- Rapporterat den:
- 2014-04-09
- Berörda paket:
- openafs
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-0159, CVE-2014-2852.
- Ytterligare information:
-
Michael Miffie upptäckte att i OpenAFS, ett distribuerat filsystem, kan en angripare med möjligheten att ansluta till ett OpenAFS-filsystem trigga ett buffertspill, krascha filservern, och potentiellt tillåta exekvering av illasinnad kod.
Utöver detta adresserar denna uppdatering ett mindre överbelastningsproblem: listener-tråden i servern kommer att hängas i ungefär en sekund när ett ogiltigt paket tas emot, vilket ger möjligheten att sakta ner servern till ett oanvändbart läge genom att skicka sådana paket.
För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.4.12.1+dfsg-4+squeeze3.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.6.1-3+deb7u2.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.6.7-1.
Vi rekommenderar att ni uppgraderar era openafs-paket.