Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2526-1 libotr

Debians sikkerhedsbulletin

DSA-2526-1 libotr -- heapbaseret bufferoverløb

Rapporteret den:

12. aug 2012

Berørte pakker:

libotr

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 684121.
I Mitres CVE-ordbog: CVE-2012-3461.

Yderligere oplysninger:

Just Ferguson opdagede, at libotr, et off-the-record-meddelelsessystem (OTR), kunne tvinges til at udføre nul længde-allokeringer af heapbuffere, som anvendes i base64-dekodningsrutiner. En angriber kunne udnytte fejlen ved at sende fabrikerede meddeleleser til en applikation, som anvender libotr, og dermed iværksætte lammelsesangreb (denial of service) eller potentielt udføre vilkårlig kode.

I den stabile distribution (squeeze), er dette problem rettet i version 3.2.0-2+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 3.2.1-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.2.1-1.

Vi anbefaler at du opgraderer dine libotr-pakker.