Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3271-1 nbd

Debians sikkerhedsbulletin

DSA-3271-1 nbd -- sikkerhedsopdatering

Rapporteret den:

23. maj 2015

Berørte pakker:

nbd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 781547, Fejl 784657.
I Mitres CVE-ordbog: CVE-2013-7441, CVE-2015-0847.

Yderligere oplysninger:

Tuomas Räsänen opdagede at usikker signalhåndtering i nbd-server, serveren til Network Block Device-protokollen, kunne gøre det muligt for fjernangribere at forårsage et deadlock i serverprocessen, og dermed et lammelsesangreb (denial of service).

Tuomas Räsänen opdagede også at den moderne forhandlingsstil blev udført i den primære serverproces, før den egentlige klient håndtering blev forgrenet. Dermed kunne en fjernangriber forårsage et lammelsesangreb (nedbrud), ved at spørge efter en ikke-eksisterende eksport. Problemet påvirker kun den gamle stabile distribution (wheezy).

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1:3.2-4~deb7u5.

I den stabile distribution (jessie), er disse problemer rettet i version 1:3.8-4+deb8u1.

I distributionen testing (stretch), er disse problemer rettet i version 1:3.10-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1:3.10-1.

Vi anbefaler at du opgraderer dine nbd-pakker.