Debians sikkerhedsbulletin

DSA-2870-1 libyaml-libyaml-perl -- heap-baseret bufferoverløb

Rapporteret den:
8. mar 2014
Berørte pakker:
libyaml-libyaml-perl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-6393.
Yderligere oplysninger:

Florian Weimer fra Red Hat Product Security Team opdagede en heap-baseret bufferoverløbsfejl i LibYAML, et hurtigt bibliotek til fortolkning og dannelse af YAML 1.1. En fjernangriber kunne levere et YAML-dokument med et særligt fremstillet tag, der ved fortolking af en applikation som benytter libyaml, medførte at applikationen gik ned eller potentielt udførte vilkårlig kode med rettighederne hørende til brugeren, der kører applikationen.

Opdateringen retter fejlen i kopien, som følger med pakken libyaml-libyaml-perl.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 0.33-1+squeeze2.

I den stabile distribution (wheezy), er dette problem rettet i version 0.38-3+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 0.41-4.

I den ustabile distribution (sid), er dette problem rettet i version 0.41-4.

Vi anbefaler at du opgraderer dine libyaml-libyaml-perl-pakker.