Bulletin d'alerte Debian

DLA-2372-1 libproxy -- Mise à jour de sécurité pour LTS

Date du rapport :
12 septembre 2020
Paquets concernés :
libproxy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-25219.
Plus de précisions :

Il a été découvert qu’il existait une possibilité d’attaque par déni de service dans libproxy, une bibliothèque pour avertir les applications d’un mandataire HTTP. Un serveur distant pourrait provoquer une récursion infinie de pile.

  • CVE-2020-25219

    url::recvline dans url.cpp dans libproxy, versions 0.4.x jusqu’à 0.4.15, permet à un serveur HTTP distant de déclencher une récursion incontrôlée à l'aide d'une réponse composée d’un flux infini sans caractère de nouvelle ligne. Cela amène à un épuisement de pile.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.4.14-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets mandataire li.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.