Bulletin d'alerte Debian

DLA-142-1 privoxy -- Mise à jour de sécurité pour LTS

Date du rapport :
29 janvier 2015
Paquets concernés :
privoxy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-1031, CVE-2015-1381, CVE-2015-1382.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Privoxy, un serveur mandataire (Proxy) HTTP qui améliore la confidentialité :

  • CVE-2015-1031, CID66394 :

    unmap() : empêchement d’une utilisation de mémoire après libération si le mappage consiste en un seul item.

  • CVE-2015-1031, CID66376 et CID66391 :

    pcrs_execute() : régler systématiquement *result à NULL en cas d’erreurs. Cela devrait rendre une utilisation de mémoire après libération dans l’appelant moins probable.

  • CVE-2015-1381:

    Correction de plusieurs erreurs de segmentation et fuites de mémoire dans le code de pcrs.

  • CVE-2015-1382:

    Correction de lecture non valable pour empêcher des plantages potentiels.

Nous vous recommandons de mettre à jour vos paquets privoxy.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 3.0.16-1+deb6u1 de privoxy.