Debians sikkerhedsbulletin

DSA-3119-1 libevent -- sikkerhedsopdatering

Rapporteret den:
6. jan 2015
Berørte pakker:
libevent
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 774645.
I Mitres CVE-ordbog: CVE-2014-6272, CVE-2015-6525.
Yderligere oplysninger:

Andrew Bartlett fra Catalyst rapporterede om en fejl, der påvirkede visse applikationer, som anvender Libevents evbuffer-API. Fejlen medførete, at applikationer, der overfører enormt store inddata til evbuffers, potentielt var udsatte for heapoverløb eller uendelig løkke. For at udnytte fejlen, skal en angriber være i stand til at finde en måde, at provokere programmet til at forsøge, at danne en bufferchunk, som er større end hvad der er plads til i en enkelt size_t eller off_t.

I den stabile distribution (wheezy), er dette problem rettet i version 2.0.19-stable-3+deb7u1.

I den kommende stabile distribution (jessie) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine libevent-pakker.