Debians sikkerhedsbulletin

DSA-2884-1 libyaml -- sikkerhedsopdatering

Rapporteret den:
26. mar 2014
Berørte pakker:
libyaml
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 742732.
I Mitres CVE-ordbog: CVE-2014-2525.
Yderligere oplysninger:

Ivan Fratric fra Google Security Team opdagede en heapbaseret bufferoverløbssårbarhed i LibYAML, et hurtigt bibliotek til fortolkning og dannelse af YAML 1.1. En fjernangriber kunne levere et særligt fremstillet YAML-dokument, som når det blev fortolket af en applikation, der anvender libyaml, fik applikationen til at gå ned eller potentielt udføre vilkårlig kode med rettighederne hørende til brugeren, der kører applikationen.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 0.1.3-1+deb6u4.

I den stabile distribution (wheezy), er dette problem rettet i version 0.1.4-2+deb7u4.

I den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine libyaml-pakker.