Bulletin d'alerte Debian

DSA-4339-1 ceph -- Mise à jour de sécurité

Date du rapport :
13 novembre 2018
Paquets concernés :
ceph
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-7519, CVE-2018-10861, CVE-2018-1128, CVE-2018-1129.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Ceph, un système distribué de stockage et de fichiers : le protocole d'authentification cephx était vulnérable à des attaques par rejeu et calculait incorrectement les signatures, ceph mon ne validait pas les capacités pour les opérations sur les espaces de stockage (« pool ») (avec pour conséquence la potentielle corruption ou suppression d'images d'instantané) et une vulnérabilité de chaîne de formatage dans libradosstriper pourrait avoir pour conséquence un déni de service.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 10.2.11-1.

Nous vous recommandons de mettre à jour vos paquets ceph.

Pour disposer d'un état détaillé sur la sécurité de ceph, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ceph.