Debians sikkerhedsbulletin

DSA-3682-1 c-ares -- sikkerhedsopdatering

Rapporteret den:
30. sep 2016
Berørte pakker:
c-ares
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 839151.
I Mitres CVE-ordbog: CVE-2016-5180.
Yderligere oplysninger:

Gzob Qq opdagede at funktionerne til opbygning af forespørgsler i c-ares, et bibliotek til asynkrone DNS-forespørgsler, ikke på korrekt vis behandlede fabrikerede forespørgselsnavne, medførende et heapbufferoverløb og potentielt førende til udførelse af vilkårlig kode.

I den stabile distribution (jessie), er dette problem rettet i version 1.10.0-2+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 1.12.0-1.

Vi anbefaler at du opgraderer dine c-ares-pakker.