Bulletin d'alerte Debian

DSA-4607-1 openconnect -- Mise à jour de sécurité

Date du rapport :
20 janvier 2020
Paquets concernés :
openconnect
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 940871.
Dans le dictionnaire CVE du Mitre : CVE-2019-16239.
Plus de précisions :

Lukas Kupczyk a signalé une vulnérabilité dans le traitement de HTTP en bloc dans openconnect, un client libre pour les VPN Cisco AnyConnect, Pulse, GlobalProtect. Un serveur HTTP malveillant (après que son certificat d’identification a été accepté) peut fournir des longueurs de bloc boguées pour l’encodage HTTP en bloc et provoquer un dépassement de tas.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 7.08-1+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 8.02-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets openconnect.

Pour disposer d'un état détaillé sur la sécurité de openconnect, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/openconnect.