Bulletin d'alerte Debian

DLA-470-1 libksba -- Mise à jour de sécurité pour LTS

Date du rapport :
13 mai 2016
Paquets concernés :
libksba
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-4579.
Plus de précisions :

Il y avait une vulnérabilité possible d'accès en lecture au-delà d'un tampon dans libksba, une bibliothèque de prise en charge de certificats X.509 et CMS.

La longueur de l'objet renvoyée à partir de _ksba_ber_parse_tl (ti.length) n'était pas toujours vérifiée par rapport à la longueur réelle du tampon, menant ainsi à un accès en lecture au-delà de la fin du tampon et par conséquent à une violation de segment (SEGV).

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 1.2.0-2+deb7u2 de libksba.

Nous vous recommandons de mettre à jour vos paquets libksba.