Säkerhetsbulletin från Debian

DSA-2526-1 libotr -- heap-baserat buffertspill

Rapporterat den:
2012-08-12
Berörda paket:
libotr
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 684121.
I Mitres CVE-förteckning: CVE-2012-3461.
Ytterligare information:

Just Ferguson upptäckte att libotr, ett off-the-record (OTR)-meddelandebibliotek, kan tvingas att utföra allokeringar med längden noll för heapbuffertar som används med base64-dekodningsrutiner. En angripare kan exploatera denna brist genom att skicka skapade meddelanden till en applikation som använder libotr för att utföra överbelastningsangrepp eller potentiellt köra illsinnad kod.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.2.0-2+squeeze1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 3.2.1-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.2.1-1.

Vi rekommenderar att ni uppgraderar era libotr-paket.