Bulletin d'alerte Debian

DLA-950-1 libtasn1-3 -- Mise à jour de sécurité pour LTS

Date du rapport :
23 mai 2017
Paquets concernés :
libtasn1-3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-6891.
Plus de précisions :

Secunia Research a découvert plusieurs vulnérabilités dans libtasn1 de GnuTLS pouvant être exploitées par des personnes malveillantes pour une compromission d’un système vulnérable.

Deux erreurs dans la fonction « asn1_find_node() » (lib/parser_aux.c) peuvent être exploitées pour provoquer un dépassement de tampon basé sur la pile.

L’exploitation réussie de ces vulnérabilités permet l’exécution de code arbitraire mais nécessite de duper un utilisateur pour traiter des fichiers d’affectations contrefaits spécialement par, par exemple, un utilitaire de codage asn1.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 2.13-2+deb7u4.

Nous vous recommandons de mettre à jour vos paquets libtasn1-3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.