Bulletin d'alerte Debian

DSA-4389-1 libu2f-host -- Mise à jour de sécurité

Date du rapport :
11 février 2019
Paquets concernés :
libu2f-host
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 921725.
Dans le dictionnaire CVE du Mitre : CVE-2018-20340.
Plus de précisions :

Christian Reitter a découvert que libu2f-host, une bibliothèque qui implémente le côté hôte du protocole U2F, échouait à vérifier correctement le risque de dépassement de tampon. Cela pourrait permettre à un attaquant avec un périphérique USB malveillant fait sur mesure se faisant passer pour une clé de sécurité, et doté d'un accès physique à un ordinateur où sont présents PAM U2F ou une application intégrant libu2f-host, d'exécuter éventuellement du code arbitraire sur cette machine.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.1.2-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets libu2f-host.

Pour disposer d'un état détaillé sur la sécurité de libu2f-host, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/libu2f-host.