Informations de sécurité / 2020 / Informations sur la sécurité -- DSA-4711-1 coturn

Bulletin d'alerte Debian

DSA-4711-1 coturn -- Mise à jour de sécurité

Date du rapport :

29 juin 2020

Paquets concernés :

coturn

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 951876.
Dans le dictionnaire CVE du Mitre : CVE-2020-4067, CVE-2020-6061, CVE-2020-6062.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans coturn, un serveur TURN et STUN pour VoIP.

• CVE-2020-4067

  Felix Doerre a signalé que le tampon de réponse STUN n'était pas correctement initialisé ce qui pourrait permettre à un attaquant de divulguer des octets parmi les octets de remplissage à partir de la connexion d'un autre client.

• CVE-2020-6061

  Aleksandar Nikolic a signalé qu'une requête POST HTTP contrefaite peut conduire à des fuites d'informations et à un autre mauvais comportement.

• CVE-2020-6062

  Aleksandar Nikolic a signalé qu'une requête POST HTTP contrefaite peut conduire au plantage du serveur et à un déni de service.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 4.5.0.5-1+deb9u2.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 4.5.1.1-1.1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets coturn.

Pour disposer d'un état détaillé sur la sécurité de coturn, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/coturn.