Bulletin d'alerte Debian

DLA-471-1 jansson -- Mise à jour de sécurité pour LTS

Date du rapport :
13 mai 2016
Paquets concernés :
jansson
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 823238.
Dans le dictionnaire CVE du Mitre : CVE-2016-4425.
Plus de précisions :

Les applications qui dépendent de Jansson, une bibliothèque C pour l'encodage, le décodage et la manipulation de données JSON, pourraient planter par épuisement de pile lors de l'analyse d'un fichier JSON. Cela était provoqué par l'absence de limite dans l'analyse de tableaux JSON et c'est maintenant corrigé en limitant la profondeur à 2048.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2.3.1-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets jansson.