Debians sikkerhedsbulletin

DSA-2885-1 libyaml-libyaml-perl -- sikkerhedsopdatering

Rapporteret den:
26. mar 2014
Berørte pakker:
libyaml-libyaml-perl
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-2525.
Yderligere oplysninger:

Ivan Fratric fra Google Security Team opdagede en heapbaseret bufferoverløbsårbarhed i LibYAML, et hurtig bibliotek til fortolkning og dannelse af YAML 1.1. En fjernangriber kunne levere et særligt fremstillet YAML-dokument, som når det blev fortolket af en applikation, der anvender libyaml, fik applikationen til at gå ned eller potentielt udføre vilkårlig kode med rettighederne hørende til brugeren, der kører applikationen.

Opdateringen retter fejlen i den indlejrede kopi i pakken libyaml-libyaml-perl.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 0.33-1+squeeze3.

I den stabile distribution (wheezy), er dette problem rettet i version 0.38-3+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 0.41-5.

Vi anbefaler at du opgraderer dine libyaml-libyaml-perl-pakker.