Bulletin d'alerte Debian

DLA-312-1 libtorrent-rasterbar -- Mise à jour de sécurité pour LTS

Date du rapport :
20 septembre 2015
Paquets concernés :
libtorrent-rasterbar
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 797046.
Dans le dictionnaire CVE du Mitre : CVE-2015-5685.
Plus de précisions :

La fonction lazy_bdecode dans un serveur d'amorçage BitTorrent DHT (bootstrap-dht) permet à des attaquants distants d'exécuter du code arbitraire à l'aide d'un paquet contrefait, lié à « improper indexing. »

Veuillez noter que même si ce CVE a été signalé à l'encontre du serveur d'amorçage BitTorrent DHT, le même code vulnérable existe dans libtorrent-rasterbar.