Bulletin d'alerte Debian
DLA-470-1 libksba -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 13 mai 2016
- Paquets concernés :
- libksba
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2016-4579.
- Plus de précisions :
-
Il y avait une vulnérabilité possible d'accès en lecture au-delà d'un tampon dans libksba, une bibliothèque de prise en charge de certificats X.509 et CMS.
La longueur de l'objet renvoyée à partir de _ksba_ber_parse_tl (ti.length) n'était pas toujours vérifiée par rapport à la longueur réelle du tampon, menant ainsi à un accès en lecture au-delà de la fin du tampon et par conséquent à une violation de segment (SEGV).
Pour Debian 7
Wheezy
, ce problème a été corrigé dans la version 1.2.0-2+deb7u2 de libksba.Nous vous recommandons de mettre à jour vos paquets libksba.