LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-470-1 libksba

Bulletin d'alerte Debian

DLA-470-1 libksba -- Mise à jour de sécurité pour LTS

Date du rapport :

13 mai 2016

Paquets concernés :

libksba

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-4579.

Plus de précisions :

Il y avait une vulnérabilité possible d'accès en lecture au-delà d'un tampon dans libksba, une bibliothèque de prise en charge de certificats X.509 et CMS.

La longueur de l'objet renvoyée à partir de _ksba_ber_parse_tl (ti.length) n'était pas toujours vérifiée par rapport à la longueur réelle du tampon, menant ainsi à un accès en lecture au-delà de la fin du tampon et par conséquent à une violation de segment (SEGV).

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 1.2.0-2+deb7u2 de libksba.

Nous vous recommandons de mettre à jour vos paquets libksba.