Рекомендация Debian по безопасности
DSA-4302-1 openafs -- обновление безопасности
- Дата сообщения:
- 23.09.2018
- Затронутые пакеты:
- openafs
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 908616.
В каталоге Mitre CVE: CVE-2018-16947, CVE-2018-16948, CVE-2018-16949. - Более подробная информация:
-
В openafs, реализации распределённой файловой системы AFS, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2018-16947
Джеффри Олтмен сообщил, что процесс резервного контроллера ленты (butc) не принимает входящие RPC, но и не требует (или не позволяет) выполнять аутентификацию этих RPC, позволяя неаутентифицированному злоумышленнику выполнять операции над томом с правами администратора.
- CVE-2018-16948
Марк Витали сообщил, что несколько серверных функций RPC не полностью инициализируют выводные переменные, что приводит к утечке содержимого памяти (и из стека, и из кучи) удалённой вызывающей функции для RPC, которые в противном случае были бы успешными.
- CVE-2018-16949
Марк Витали сообщил, что неаутентифицированный злоумышленник может потреблять большое количество серверной памяти и пропускной способности канала с помощью специально сформированных запросов, что приводит к отказу в обслуживании у легитимных клиентов.
В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1.6.20-2+deb9u2.
Рекомендуется обновить пакеты openafs.
С подробным статусом поддержки безопасности openafs можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/openafs
- CVE-2018-16947