Рекомендация Debian по безопасности

DSA-2870-1 libyaml-libyaml-perl -- переполнение динамической памяти

Дата сообщения:
08.03.2014
Затронутые пакеты:
libyaml-libyaml-perl
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-6393.
Более подробная информация:

Флориан Ваймер из Red Hat Product Security Team обнаружил переполнение динамической памяти в LibYAML, быстрой библиотеке для грамматического разбора и порождения YAML 1.1. Удалённый атакующий может предоставить документ в формате YAML со специально сформированным тегом, который при грамматическом разборе приложением, использующим libyaml, приводит к аварийному завершению приложения или к потенциальному выполнению произвольного кода с привилегиями пользователя, запустившего данное приложение.

Данное обновление представляет собой исправление копии библиотеки, включённой в пакет libyaml-libyaml-perl.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.33-1+squeeze2.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 0.38-3+deb7u1.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 0.41-4.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.41-4.

Рекомендуется обновить пакеты libyaml-libyaml-perl.