Säkerhetsbulletin från Debian

DSA-2840-1 srtp -- buffertspill

Rapporterat den:
2014-01-10
Berörda paket:
srtp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 711163.
I Mitres CVE-förteckning: CVE-2013-2139.
Ytterligare information:

Fernando Russ från Groundworks Technologies rapporterade ett buffertspill i srtp, Cisco's referensimplementation av Secure Real-time Transport Protocol (SRTP), i sättet som funktionen crypto_policy_set_from_profile_for_rtp() applicerar kryptografiska profiler till en srtp-policy. En fjärrangripare kunde exploatera denna sårbarhet för att krascha en applikation som länkats till libsrtp, vilket kunde resultera i en överbelastning.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.4.4~dfsg-6+deb6u1.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.4+20100615~dfsg-2+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1.4.5~20130609~dfsg-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.4.5~20130609~dfsg-1.

Vi rekommenderar att ni uppgraderar era srtp-paket.