Säkerhetsbulletin från Debian

DSA-3379-1 miniupnpc -- säkerhetsuppdatering

Rapporterat den:
2015-10-25
Berörda paket:
miniupnpc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 802650.
I Mitres CVE-förteckning: CVE-2015-6031.
Ytterligare information:

Aleksandar Nikolic från Cisco Talos upptäckte ett buffertspill i XML-tolkfunktionaliteten i miniupnpc, ett lättviktigt UPnP IGD-klientbibliotek. En fjärrangripare kan dra fördel av denna brist för att orsaka att en applikation som använder miniupnpcbiblioteket att krascha, eller potentiellt köra godtycklig kod med samma rättigheter som användaren som kör applikationen.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.5-2+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.9.20140610-2+deb8u1.

För den instabila utgåvan (Sid) kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era miniupnpc-paket.