LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-2022-1 librabbitmq

Bulletin d'alerte Debian

DLA-2022-1 librabbitmq -- Mise à jour de sécurité pour LTS

Date du rapport :

6 décembre 2019

Paquets concernés :

librabbitmq

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-18609.

Plus de précisions :

Il existait une vulnérabilité de dépassement d’entier dans librabbitmq, une bibliothèque de passage de messages robuste entre applications et serveurs.

• CVE-2019-18609

  Un problème a été découvert dans amqp_handle_input dans amqp_connection.c dans rabbitmq-c 0.9.0. Il existait un dépassement d'entier aboutissant à une corruption de mémoire de tas dans le traitement de CONNECTION_STATE_HEADER. Un serveur véreux pourrait renvoyer un en-tête de trame malveillant aboutissant à une valeur de target_size plus petite que celle nécessaire. Cette condition est alors reproduite vers une fonction memcpy qui copie trop de données dans un tampon de tas.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.5.2-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets librabbitmq.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.