Bulletin d'alerte Debian

DSA-3255-1 zeromq3 -- Mise à jour de sécurité

Date du rapport :
10 mai 2015
Paquets concernés :
zeromq3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 784366.
Dans le dictionnaire CVE du Mitre : CVE-2014-9721.
Plus de précisions :

libzmq, un noyau de messagerie léger, est vulnérable à une attaque de dégradation du protocole sur les sockets utilisant le protocole ZMTP v3. Cela pourrait permettre à des attaquants distants de contourner les mécanismes de sécurité de ZMTP v3 en envoyant des en-têtes de versions ZMTP v2 ou précédentes.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 4.0.5+dfsg-2+deb8u1.

Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 4.0.5+dfsg-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.0.5+dfsg-3.

Nous vous recommandons de mettre à jour vos paquets zeromq3.