Bulletin d'alerte Debian
DSA-3569-1 openafs -- Mise à jour de sécurité
- Date du rapport :
- 5 mai 2016
- Paquets concernés :
- openafs
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-8312, CVE-2016-2860.
- Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans openafs, une implémentation du système de fichiers distribué AFS. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2015-8312
Un possible déni de service provoqué par un bogue dans la logique pioctl permet à un utilisateur local de provoquer un dépassement de tampon du noyau avec un simple octet NUL.
- CVE-2016-2860
Peter Iannucci a découvert que les utilisateurs d'un domaine Kerberos étranger peuvent créer des groupes comme s'ils étaient administrateurs.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u5.
Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.6.17-1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.17-1.
Nous vous recommandons de mettre à jour vos paquets openafs.
- CVE-2015-8312