Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5260-1 lava

Bulletin d'alerte Debian

DSA-5260-1 lava -- Mise à jour de sécurité

Date du rapport :

23 octobre 2022

Paquets concernés :

lava

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1021737.
Dans le dictionnaire CVE du Mitre : CVE-2022-42902.

Plus de précisions :

Igor Ponomarev a découvert que LAVA, un système d'intégration continue pour déployer des systèmes d'exploitation sur des matériels physiques et virtuels pour l'exécution de test, utilisait exec() sur les entrées passées au composant serveur.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 2020.12-5+deb11u1.

Nous vous recommandons de mettre à jour vos paquets lava.

Pour disposer d'un état détaillé sur la sécurité de lava, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/lava.