Рекомендация Debian по безопасности

DSA-3119-1 libevent -- обновление безопасности

Дата сообщения:
06.01.2015
Затронутые пакеты:
libevent
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 774645.
В каталоге Mitre CVE: CVE-2014-6272, CVE-2015-6525.
Более подробная информация:

Эндрю Бартлет из Catalyst сообщил о проблеме в некоторых приложениях, использующих API Libevent evbuffer. Эта проблема делает приложения, которые передают слишком большой ввод в evbuffers, уязвимыми к переполнению динамической памяти или приводит их к состоянию бесконечного цикла. Для того, чтобы использовать данную уязвимость злоумышленник должен быть способен спровоцировать программу на попытку создания буфера большего объёма, чем может поместиться в size_t или off_t.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.0.19-stable-3+deb7u1.

В готовящемся стабильном (jessie) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты libevent.