Рекомендация Debian по безопасности

DSA-2615-1 libupnp4 -- несколько уязвимостей

Дата сообщения:
01.02.2013
Затронутые пакеты:
libupnp4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 699459.
В каталоге Mitre CVE: CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964, CVE-2012-5965.
Более подробная информация:

В libupnp4, библиотеке, используемой для обработки протокола Universal Plug and Play, были обнаружены многочисленные переполнения стека. Эйчди Мур из Rapid7 обнаружил, что запросы SSDP неправильно обрабатываются функцией unique_service_name().

Атакующий, отсылающий специально сформированные запросы SSDP службе, построенной на базе libupnp4, может вызвать переполнение буфера, перезапись стека, которые приводят к аварийному завершению работы службы и возможному удалённому выполнению кода.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.8.0~svn20100507-1+squeeze1.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 1.8.0~svn20100507-1.2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.8.0~svn20100507-1.2.

Рекомендуется обновить пакеты libupnp4.