Bulletin d'alerte Debian

DLA-466-1 ocaml -- Mise à jour de sécurité pour LTS

Date du rapport :
11 mai 2016
Paquets concernés :
ocaml
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8869.
Plus de précisions :

Les versions 4.02.3 et antérieures d'OCaml ont un bogue d'exécution qui, sur les plateformes 64 bits, fait que les arguments de taille pour un appel memmove interne subissent une extension de signe de 32 à 64 bits avant d'être passés à la fonction memmove. Cela conduit les arguments entre 2 GiB et 4 GiB à être interprétés comme plus grands qu'ils ne sont (particulièrement, un bit en dessous de 2^64), provoquant un dépassement de tampon. Les arguments entre 4 GiB et 6 GiB sont interprétés comme 4 GiB plus petits qu'ils ne devraient être, provoquant une possible fuite d'informations.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.12.1-4+deb7u1 d'ocaml.