Bulletin d'alerte Debian

DLA-277-1 libidn -- Mise à jour de sécurité pour LTS

Date du rapport :
20 juillet 2015
Paquets concernés :
libidn
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-2059.
Plus de précisions :

Thijs Alkemade a découvert que le serveur Jabber peut passer une chaîne UTF-8 non valable à libidn, la bibliothèque GNU pour les noms de domaines internationalisés (Internationalized Domain Names — IDN). Dans le cas du serveur Jabber, cela a pour conséquence la divulgation d'informations, et il est probable que d'autres applications qui utilisent libidn ont des vulnérabilités semblables. Cette mise à jour modifie libidn pour qu'elle recherche les chaînes non valables plutôt que de supposer que l'application l'a déjà fait.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 1.15-2+deb6u1.

Pour la distribution oldstable (Wheezy) et la distribution stable (Jessie), ce problème sera corrigé prochainement.