Рекомендация Debian по безопасности

DLA-304-1 openslp-dfsg -- обновление безопасности LTS

Дата сообщения:
03.09.2015
Затронутые пакеты:
openslp-dfsg
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 623551, Ошибка 687597, Ошибка 795429.
В каталоге Mitre CVE: CVE-2010-3609, CVE-2012-4428, CVE-2015-5177.
Более подробная информация:

В OpenSLP, реализующем стандарты протокола Internet Engineering Task Force (IETF) Service Location Protocol, было обнаружено несколько уязвимостей.

  • CVE-2010-3609

    Удалённые злоумышленники могут вызывать отказ в обслуживании в службе Service Location Protocol (SLPD) при помощи специально сформированного пакета с отступом следующего расширения.

  • CVE-2012-4428

    Георгий Гешев обнаружил, что чтение за пределами выделенного буфера памяти в функции SLPIntersectStringList() может использоваться для вызова отказа в обслуживании.

  • CVE-2015-5177

    Двойное освобождение в функции SLPDProcessMessage() может использоваться для вызова аварийной остановки openslp.

    В Debian 6 Squeeze эти проблемы были исправлены в openslp-dfsg версии 1.2.1-7.8+deb6u1.

    Рекомендуется обновить пакеты openslp-dfsg.