Bulletin d'alerte Debian

DLA-495-1 libtasn1-3 -- Mise à jour de sécurité pour LTS

Date du rapport :
30 mai 2016
Paquets concernés :
libtasn1-3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-4008.
Plus de précisions :
  • CVE-2016-4008

    Une boucle infinie a été découverte lors de l'analyse de certificats DER. La fonction _asn1_extract_der_octet dans lib/decoding.c dans Libtasn1 de GNU antérieure à 4.8, lorsqu'elle est utilisée sans l'indicateur ASN1_DECODE_FLAG_STRICT_DER, permet à des attaquants distants de provoquer un déni de service (récursion infinie) à l'aide d'un certificat contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.13-2+deb7u3.

Nous vous recommandons de mettre à jour vos paquets libtasn1-3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.