Säkerhetsbulletin från Debian

DSA-2870-1 libyaml-libyaml-perl -- heapbaserat buffertspill

Rapporterat den:
2014-03-08
Berörda paket:
libyaml-libyaml-perl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-6393.
Ytterligare information:

Florian Weimer från Red Hat Product Security Team upptäckte ett heapbaserat buffertspill i LibYAML, ett bibliotek för snabb YAML 1.1-tolkning och emitter. En fjärrangripare kunde tillhandahålla ett YAML-dokument med en speciellt skapad etikett som när den tolkas av en applikation som använder libyaml, kunde orsaka applikationen att krascha, eller potentiellt exekvera illasinnad kod med samma rättigheter som användaren som kör applikationen.

Denna uppdatering korrigerar detta problem i kopian som är inbäddad i paketet libyaml-libyaml-perl.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 0.33-1+squeeze2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.38-3+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 0.41-4.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.41-4.

Vi rekommenderar att ni uppgraderar era libyaml-libyaml-perl-paket.