Debians sikkerhedsbulletin

DSA-2526-1 libotr -- heapbaseret bufferoverløb

Rapporteret den:
12. aug 2012
Berørte pakker:
libotr
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 684121.
I Mitres CVE-ordbog: CVE-2012-3461.
Yderligere oplysninger:

Just Ferguson opdagede, at libotr, et off-the-record-meddelelsessystem (OTR), kunne tvinges til at udføre nul længde-allokeringer af heapbuffere, som anvendes i base64-dekodningsrutiner. En angriber kunne udnytte fejlen ved at sende fabrikerede meddeleleser til en applikation, som anvender libotr, og dermed iværksætte lammelsesangreb (denial of service) eller potentielt udføre vilkårlig kode.

I den stabile distribution (squeeze), er dette problem rettet i version 3.2.0-2+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 3.2.1-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.2.1-1.

Vi anbefaler at du opgraderer dine libotr-pakker.