Debians sikkerhedsbulletin

DSA-2778-1 libapache2-mod-fcgid -- heapbaseret bufferoverløb

Rapporteret den:
12. okt 2013
Berørte pakker:
libapache2-mod-fcgid
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-4365.
Yderligere oplysninger:

Robert Matthews opdagede at Apaches FCGID-modul, en FastCGI-implementering til Apache HTTP Server, ikke udførte tilstrækkelige grænsekontroller på brugerleverede inddata. Dermed kunne det være muligt for en fjernangriber at forårsage et heapbaseret bufferoverløb, medførende et lammelsesangreb (denial of service) eller potentielt muliggørende udførelse af vilkårlig kode.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1:2.3.6-1+squeeze2.

I den stabile distribution (wheezy), er dette problem rettet i version 1:2.3.6-1.2+deb7u1.

I den ustabile distribution (sid), er dette problem rettet i version 1:2.3.9-1.

Vi anbefaler at du opgraderer dine libapache2-mod-fcgid-pakker.