Säkerhetsbulletin från Debian

DSA-3682-1 c-ares -- säkerhetsuppdatering

Rapporterat den:
2016-09-30
Berörda paket:
c-ares
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 839151.
I Mitres CVE-förteckning: CVE-2016-5180.
Ytterligare information:

Gzob Oq upptäckte att funktionerna för att bygga förfrågningar i det asynkrona DNS-förfrågebiblioteket c-ares inte behandlade skapade förfrågenamn korrekt, vilket resulterar i ett heapbuffertspill och potentiellt exekvering av godtycklig kod.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.10.0-2+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.12.0-1.

Vi rekommenderar att ni uppgraderar era c-ares-paket.