セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2979-1 fail2ban

Debian セキュリティ勧告

DSA-2979-1 fail2ban -- セキュリティ更新

報告日時:

2014-07-17

影響を受けるパッケージ:

fail2ban

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-7176, CVE-2013-7177.

詳細:

Fail2ban、指定ホストからのアクセスを禁止するプログラムに、 複数の認証エラーを引き起こす脆弱性が2件発見されました。Fail2ban を使って Postfix や Cyrus IMAP のログを監視している場合、 ログ解析での入力検証が適切でないためにリモートの攻撃者が任意のIPアドレスからのアクセスを禁止させることが可能で、 サービス拒否につながります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 0.8.6-3wheezy3 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 0.8.11-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.8.11-1 で修正されています。

直ちに fail2ban パッケージをアップグレードすることを勧めます。