Säkerhetsbulletin från Debian

DSA-3119-1 libevent -- säkerhetsuppdatering

Rapporterat den:
2015-01-06
Berörda paket:
libevent
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 774645.
I Mitres CVE-förteckning: CVE-2014-6272, CVE-2015-6525.
Ytterligare information:

Andrew Bartlett från Catalyst rapporterade en defekt som påverkar vissa applikationer som använder evbuffer-APIet från Libevent. Denna defekt lämnar applikationer som skickar galet stora indata till evbuffers öppna för ett möjligt heapbaserat bufferspill eller oändlig loop. För att exploatera denna brist behöver en angripare ha möjlighet att hitta ett sätt att provocera programmet till att försöka skapa en bufferklump som är större än vad som får plats i en enda size_t eller off_t.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.0.19-stable-3+deb7u1.

För den kommande stabila utgåvan (Jessie) och den instabila distributionen (Sid), kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era libevent-paket.