Bulletin d'alerte Debian

DLA-304-1 openslp-dfsg -- Mise à jour de sécurité pour LTS

Date du rapport :
3 septembre 2015
Paquets concernés :
openslp-dfsg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 623551, Bogue 687597, Bogue 795429.
Dans le dictionnaire CVE du Mitre : CVE-2010-3609, CVE-2012-4428, CVE-2015-5177.
Plus de précisions :

Plusieurs problèmes ont été découverts et résolus dans OpenSLP qui implémente le protocole standard de découverte de services (« SLP ») de l'EITF (Internet Engineering Task Force)

  • CVE-2010-3609

    Des attaquants distants pourraient provoquer un déni de service dans le démon du protocole de découverte de services (SLPD) à l'aide d'un paquet contrefait avec un next extension offset.

  • CVE-2012-4428

    Georgi Geshev a découvert qu'une erreur de lecture hors limites dans la fonction SLPIntersectStringList() pourrait être utilisée pour provoquer un déni de service.

  • CVE-2015-5177

    Une double libération de zone de mémoire dans la fonction SLPDProcessMessage() pourrait être utilisée pour provoquer le plantage d'openslp.

    Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.2.1-7.8+deb6u1 d'openslp-dfsg.

    Nous vous recommandons de mettre à jour vos paquets openslp-dfsg.