Debian セキュリティ勧告

DLA-72-2 rsyslog -- LTS セキュリティ更新

報告日時:
2014-10-19
影響を受けるパッケージ:
rsyslog
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-3634, CVE-2014-3683.
詳細:

Wheezy のパッチでは Squeeze 版の imklog モジュールに未解決シンボルが残ってしまっていました。 カーネルからのメッセージに対応できないことを除けば rsyslog は正常に動作していました。この更新ではその問題を修正します。

参考までに前の勧告を再掲します。

  • CVE-2014-3634

    PRI の値が不正な場合に適切でない処理をしていたことによるリモートの syslog 脆弱性を修正。

  • CVE-2014-3683

    CVE-2014-3634 への修正の続きです。当初のパッチは不完全でした。PRI の値が MAX_INT よりも大きい状況に対応していなかったため、 その場合に整数オーバーフローして負の値になっていました。

Debian 6Squeezeでは、この問題は rsyslog バージョン 4.6.4-2+deb6u2 で修正されています。