LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-304-1 openslp-dfsg

Bulletin d'alerte Debian

DLA-304-1 openslp-dfsg -- Mise à jour de sécurité pour LTS

Date du rapport :

3 septembre 2015

Paquets concernés :

openslp-dfsg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 623551, Bogue 687597, Bogue 795429.
Dans le dictionnaire CVE du Mitre : CVE-2010-3609, CVE-2012-4428, CVE-2015-5177.

Plus de précisions :

Plusieurs problèmes ont été découverts et résolus dans OpenSLP qui implémente le protocole standard de découverte de services (« SLP ») de l'EITF (Internet Engineering Task Force)

• CVE-2010-3609

  Des attaquants distants pourraient provoquer un déni de service dans le démon du protocole de découverte de services (SLPD) à l'aide d'un paquet contrefait avec un next extension offset.

• CVE-2012-4428

  Georgi Geshev a découvert qu'une erreur de lecture hors limites dans la fonction SLPIntersectStringList() pourrait être utilisée pour provoquer un déni de service.

• CVE-2015-5177

  Une double libération de zone de mémoire dans la fonction SLPDProcessMessage() pourrait être utilisée pour provoquer le plantage d'openslp.

  Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 1.2.1-7.8+deb6u1 d'openslp-dfsg.

  Nous vous recommandons de mettre à jour vos paquets openslp-dfsg.