Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3271-1 nbd

Säkerhetsbulletin från Debian

DSA-3271-1 nbd -- säkerhetsuppdatering

Rapporterat den:

2015-05-23

Berörda paket:

nbd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 781547, Fel 784657.
I Mitres CVE-förteckning: CVE-2013-7441, CVE-2015-0847.

Ytterligare information:

Tuomas Räsänen upptäckte att osäker signalhantering i nbd-server, servern för Network Block Device-protokollet, kunde tillåta fjärrangripare att orsaka ett dödläge i serverprocessen och därmed en överbelastning.

Tuomas Räsänen upptäckte även att förhandling med modern stil hanterades i huvudserverprocessen inte den förgrenade den verkliga klienthanteraren. Detta kunde tillåta en fjärrangripare att orsaka en överbelastning (krasch) genom att förfråga en icke-existerande export. Detta problem påverkade endast den gamla stabila utgåvan (Wheezy).

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1:3.2-4~deb7u5.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:3.8-4+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1:3.10-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1:3.10-1.

Vi rekommenderar att ni uppgraderar era nbd-paket.