Bulletin d'alerte Debian

DSA-2571-1 libproxy -- Dépassement de tampon

Date du rapport :
4 novembre 2012
Paquets concernés :
libproxy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-4505.
Plus de précisions :

L'équipe Red Hat Security Response a découvert que libproxy, une bibliothèque pour gérer la configuration automatique de mandataire (proxy), ne vérifie pas suffisamment l'en-tête Content-Length envoyé par un serveur fournissant un fichier proxy.pac. Ce type de serveur distant pourrait déclencher un dépassement d'entier et par conséquent dépasser un tampon en mémoire.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.3.1-2+squeeze1.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 0.3.1-5.1.

Nous vous recommandons de mettre à jour vos paquets libproxy.