Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3569-1 openafs

Debians sikkerhedsbulletin

DSA-3569-1 openafs -- sikkerhedsopdatering

Rapporteret den:

5. maj 2016

Berørte pakker:

openafs

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-8312, CVE-2016-2860.

Yderligere oplysninger:

To sårbarheder blev opdaget i openafs, en implementering af det distribuerede filsystem AFS. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2015-8312

  Potentielt lammelsesangreb (denial of service) forårsaget af en fejl i pioctl-logikken, gjorde det muligt for en lokal bruger, at få en kernebuffer til at løbe over, ved hjælp af en enkelt NUL-byte.

• CVE-2016-2860

  Peter Iannucci opdagede at brugere fra fremmede Kerberos-realms, kunne oprette grupper, hvis de var administratorer.

I den stabile distribution (jessie), er disse problemer rettet i version 1.6.9-2+deb8u5.

I distributionen testing (stretch), er disse problemer rettet i version 1.6.17-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.6.17-1.

Vi anbefaler at du opgraderer dine openafs-pakker.