Bulletin d'alerte Debian

DLA-231-1 dulwich -- Mise à jour de sécurité pour LTS

Date du rapport :
27 mai 2015
Paquets concernés :
dulwich
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-0838.
Plus de précisions :

Ivan Fratric de l'équipe de sécurité de Google a découvert un dépassement de tampon dans l'implémentation en C de la fonction apply_delta(), utilisée lors de l'accès aux objets Git dans les fichiers « pack ». Un attaquant pourrait tirer avantage de ce défaut pour provoquer l'exécution de code arbitraire avec les droits de l'utilisateur se servant d'un serveur Git ou d'un client basé sur Dulwich.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 0.6.1-1+deb6u1.