Säkerhetsbulletin från Debian

DSA-3539-1 srtp -- säkerhetsuppdatering

Rapporterat den:
2016-04-02
Berörda paket:
srtp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 807698.
I Mitres CVE-förteckning: CVE-2015-6360.
Ytterligare information:

Randell Jesup och Firefox-gruppen upptäckte att srtp, Cisco's referensimplementation av Secure Real-time Transport Protocol (SRTP), inte hanterar RTP-header CSRC count och extension headerlängd ordentligt. En fjärrangripare kunde exploatera denna brist för att krascha ett program som länkar mot libsrtp, vilket resulterar i överbelastning.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.4+20100615~dfsg-2+deb7u2.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.4.5~20130609~dfsg-1.1+deb8u1.

Vi rekommenderar att ni uppgraderar era srtp-paket.