Bulletin d'alerte Debian

DLA-454-1 minissdpd -- Mise à jour de sécurité pour LTS

Date du rapport :
3 mai 2016
Paquets concernés :
minissdpd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-3178, CVE-2016-3179.
Plus de précisions :

Le démon minissdpd renferme une vulnérabilité de validation incorrecte d'indexation de tableau (CWE-129) lors du traitement de requêtes envoyées à la socket Unix à /var/run/minissdpd.sock. Un utilisateur non privilégié peut accéder à la socket Unix pour envoyer une requête non valable et provoquer un accès mémoire hors limites qui plante le démon minissdpd.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1.1.20120121-1+deb7u1 de minissdpd.