Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4302-1 openafs

Debians sikkerhedsbulletin

DSA-4302-1 openafs -- sikkerhedsopdatering

Rapporteret den:

23. sep 2018

Berørte pakker:

openafs

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 908616.
I Mitres CVE-ordbog: CVE-2018-16947, CVE-2018-16948, CVE-2018-16949.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i openafs, en implementering af det distribuerede filsystem AFS. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2018-16947

  Jeffrey Altman rapporterede at backup tape controller-processen (butc), accepterede indkommende RPC'er, men ikke krævede (eller tog højde for) autentifikation af disse RPC'er, hvilket gjorde det muligt for en uautoriseret angriber, at iværksætte volume-handlinger med administratorrettigheder.

  https://openafs.org/pages/security/OPENAFS-SA-2018-001.txt

• CVE-2018-16948

  Mark Vitale rapporterede at flere RPC-serverrutiner ikke fultstændigt inistialiserede uddatavariabler, hvilket medførte lækage af hukommelsesinhold (fra både stak og heap) til fjernkalderen af ellers succesrige RPC'er.

  https://openafs.org/pages/security/OPENAFS-SA-2018-002.txt

• CVE-2018-16949

  Mark Vitale rapporterede at en uautentificeret angriber kunne forbruge store mængder serverhukommelse og netværksbåndbredde gennem særligt fremstillede forespørgsler, medførende lammelsesangreb for legitime klienter.

  https://openafs.org/pages/security/OPENAFS-SA-2018-003.txt

I den stabile distribution (stretch), er disse problemer rettet i version 1.6.20-2+deb9u2.

Vi anbefaler at du opgraderer dine openafs-pakker.

For detaljeret sikkerhedsstatus vedrørende openafs, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/openafs