Bulletin d'alerte Debian

DLA-441-1 pcre3 -- Mise à jour de sécurité pour LTS

Date du rapport :
29 février 2016
Paquets concernés :
pcre3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 815921.
Plus de précisions :

Zero Day Initiative d’HP a identifié une vulnérabilité affectant le paquet pcre3. L’identifiant ZDI, ZDI-CAN-3542, lui a été assigné. Un identifiant CVE n’a pas encore été assigné.

Vulnérabilité d'exécution de code à distance et de dépassement de tampon de pile dans la compilation d'expression rationnelle PCRE.

PCRE ne validait pas que la gestion du verbe (*ACCEPT) se produisait à l’intérieur des limites du tampon de pile de cworkspace, menant à un dépassement de tampon de pile.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 8.02-1.1+deb6u1.

Nous vous recommandons de mettre à jour vos paquets pcre3.