Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3569-1 openafs

Bulletin d'alerte Debian

DSA-3569-1 openafs -- Mise à jour de sécurité

Date du rapport :

5 mai 2016

Paquets concernés :

openafs

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-8312, CVE-2016-2860.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans openafs, une implémentation du système de fichiers distribué AFS. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-8312

  Un possible déni de service provoqué par un bogue dans la logique pioctl permet à un utilisateur local de provoquer un dépassement de tampon du noyau avec un simple octet NUL.

• CVE-2016-2860

  Peter Iannucci a découvert que les utilisateurs d'un domaine Kerberos étranger peuvent créer des groupes comme s'ils étaient administrateurs.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.6.9-2+deb8u5.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1.6.17-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.6.17-1.

Nous vous recommandons de mettre à jour vos paquets openafs.