Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4169-1 pcs

Bulletin d'alerte Debian

DSA-4169-1 pcs -- Mise à jour de sécurité

Date du rapport :

11 avril 2018

Paquets concernés :

pcs

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 895313.
Dans le dictionnaire CVE du Mitre : CVE-2018-1086.

Plus de précisions :

Cédric Buissart de Red Hat a découvert un bogue de divulgation d'informations dans pcs, une interface en ligne de commande et graphique pour pacemaker. L'interface REST ne permet pas normalement de passer le paramètre --debug pour éviter une fuite d'informations, mais la vérification n'était pas suffisante.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 0.9.155+dfsg-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets pcs.

Pour disposer d'un état détaillé sur la sécurité de pcs, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/pcs