Debian セキュリティ勧告

DLA-110-1 libyaml -- LTS セキュリティ更新

報告日時:
2014-12-14
影響を受けるパッケージ:
libyaml
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 771366.
Mitre の CVE 辞書: CVE-2014-9130.
詳細:

Jonathan Gray さんと Stanislaw Pitucha さんが、高速な YAML 1.1 パーサ及び生成ライブラリ LibYAML が折り返された文字列を解析する方法にアサート失敗を発見しました。libyaml を利用しているアプリケーションで、特別に細工した YAML 入力をロードさせることのできる攻撃者が、 アプリケーションをクラッシュさせることが可能です。

Debian 6Squeezeでは、この問題は libyaml バージョン 0.1.3-1+deb6u5 で修正されています。