Bulletin d'alerte Debian

DSA-4373-1 coturn -- Mise à jour de sécurité

Date du rapport :
28 janvier 2019
Paquets concernés :
coturn
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-4056, CVE-2018-4058, CVE-2018-4059.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans coTURN, un serveur TURN et STUN de voix sur IP.

  • CVE-2018-4056

    Une vulnérabilité d'injection SQL a été découverte dans le portail web d'administration de coTURN. Comme l'interface web d'administration est partagée avec la production, il n'est malheureusement pas possible de filtrer facilement les accès extérieurs et cette mise à jour de sécurité désactive complètement l'interface web. Les utilisateurs doivent utiliser à la place l'interface locale en ligne de commande.

  • CVE-2018-4058

    La configuration par défaut permet d'activer une redirection de boucle locale non sécurisée. Un attaquant distant doté d'un accès à l'interface TURN peut utiliser cette vulnérabilité pour obtenir un accès à des services qui devraient être uniquement locaux.

  • CVE-2018-4059

    La configuration par défaut utilise un mot de passe vide pour l'interface locale en ligne de commande. Un attaquant doté d'un accès à la console locale (soit un attaquant local, soit un attaquant distant tirant avantage de CVE-2018-4058) pourrait augmenter ses droits à ceux de l'administrateur du serveur coTURN.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.5.0.5-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets coturn.

Pour disposer d'un état détaillé sur la sécurité de coturn, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/coturn.