Bulletin d'alerte Debian

DSA-4711-1 coturn -- Mise à jour de sécurité

Date du rapport :
29 juin 2020
Paquets concernés :
coturn
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 951876.
Dans le dictionnaire CVE du Mitre : CVE-2020-4067, CVE-2020-6061, CVE-2020-6062.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans coturn, un serveur TURN et STUN pour VoIP.

  • CVE-2020-4067

    Felix Doerre a signalé que le tampon de réponse STUN n'était pas correctement initialisé ce qui pourrait permettre à un attaquant de divulguer des octets parmi les octets de remplissage à partir de la connexion d'un autre client.

  • CVE-2020-6061

    Aleksandar Nikolic a signalé qu'une requête POST HTTP contrefaite peut conduire à des fuites d'informations et à un autre mauvais comportement.

  • CVE-2020-6062

    Aleksandar Nikolic a signalé qu'une requête POST HTTP contrefaite peut conduire au plantage du serveur et à un déni de service.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 4.5.0.5-1+deb9u2.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 4.5.1.1-1.1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets coturn.

Pour disposer d'un état détaillé sur la sécurité de coturn, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/coturn.