Bulletin d'alerte Debian

DSA-4234-1 lava-server -- Mise à jour de sécurité

Date du rapport :
22 juin 2018
Paquets concernés :
lava-server
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-12564, CVE-2018-12565.
Plus de précisions :

Deux vulnérabilités ont été découverte dans LAVA, un système d'intégration continue pour déployer des systèmes d'exécution de tests, qui pourraient avoir pour conséquence la divulgation d'informations de fichiers lisibles par l'utilisateur du système lavaserver ou l'exécution de code arbitraire à l'aide d'un appel XMLRPC.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2016.12-3.

Nous vous recommandons de mettre à jour vos paquets lava-server.

Pour disposer d'un état détaillé sur la sécurité de lava-server, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/lava-server