Debian セキュリティ勧告

DLA-109-1 libyaml-libyaml-perl -- LTS セキュリティ更新

報告日時:
2014-12-14
影響を受けるパッケージ:
libyaml-libyaml-perl
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 771365.
Mitre の CVE 辞書: CVE-2014-9130.
詳細:

Jonathan Gray さんと Stanislaw Pitucha さんが、高速な YAML 1.1 パーサ及び生成ライブラリ LibYAML が折り返された文字列を解析する方法にアサート失敗を発見しました。libyaml を利用しているアプリケーションで、特別に細工した YAML 入力をロードさせることのできる攻撃者が、 アプリケーションをクラッシュさせることが可能です。

この更新では libyaml-libyaml-perl パッケージに組み込まれている複製にあるこの欠陥を修正します。

Debian 6Squeezeでは、この問題は libyaml-libyaml-perl バージョン 0.33-1+squeeze4 で修正されています。