Aviso de seguridad de Debian
DSA-4302-1 openafs -- actualización de seguridad
- Fecha del informe:
- 23 de sep de 2018
- Paquetes afectados:
- openafs
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 908616.
En el diccionario CVE de Mitre: CVE-2018-16947, CVE-2018-16948, CVE-2018-16949. - Información adicional:
-
Se descubrieron varias vulnerabilidades en openafs, una implementación del sistema de archivos distribuido AFS. El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:
- CVE-2018-16947
Jeffrey Altman informó de que el proceso controlador de la cinta de backup (butc) acepta RPC entrantes pero no requiere (ni permite) la autenticación de esas RPC, permitiendo que un atacante no autenticado realice operaciones de volúmenes con credenciales de administrador.
- CVE-2018-16948
Mark Vitale informó de que varias rutinas de servidor RPC no inicializan completamente las variables de salida, filtrando contenidos de la memoria (tanto de la pila como de la memoria dinámica o «heap») al llamador remoto en llamadas RPC que, por lo demás, son exitosas.
- CVE-2018-16949
Mark Vitale informó de que un atacante no autenticado puede consumir grandes cantidades de memoria del servidor y ancho de banda de red por medio de peticiones preparadas de una manera determinada, dando lugar a denegación de servicio a clientes legítimos.
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 1.6.20-2+deb9u2.
Le recomendamos que actualice los paquetes de openafs.
Para información detallada sobre el estado de seguridad de openafs consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/openafs
- CVE-2018-16947