Рекомендация Debian по безопасности

DLA-72-2 rsyslog -- обновление безопасности LTS

Дата сообщения:
19.10.2014
Затронутые пакеты:
rsyslog
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-3634, CVE-2014-3683.
Более подробная информация:

Заплата для выпуска Wheezy оставила неразрешённый символ в модуле imklog из версии для Squeeze. rsyslog работает нормально за исключением того, что более нельзя отправлять сообщения ядра. Данное обновление исправляет эту проблему.

Ниже приводится текст оригинальной рекомендации.

  • CVE-2014-3634

    Исправление удалённой уязвимости syslog, возникающей из-за неправильной обработки некорректных значений PRI.

  • CVE-2014-3683

    Последующее исправление CVE-2014-3634. Первоначальная заплата оказалась неполной. Она не покрывала случаи, когда значения PRI > MAX_INT, что вызывало переполнение целых чисел, приводящее к отрицательным значениям.

В Debian 6 Squeeze эти проблемы были исправлены в пакете rsyslog версии 4.6.4-2+deb6u2