Bulletin d'alerte Debian

DLA-2639-1 opendmarc -- Mise à jour de sécurité pour LTS

Date du rapport :
25 avril 2021
Paquets concernés :
opendmarc
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 966464.
Dans le dictionnaire CVE du Mitre : CVE-2020-12460.
Plus de précisions :

Il a été découvert qu’OpenDMARC, une implémentation de milter de DMARC, avait un octet NULL final incorrect dans la fonction opendmarc_xml_parse qui pouvait conduire à un dépassement de tas d’un octet dans opendmarc_xml lors de l’analyse d’un rapport global DMARC contrefait pour l'occasion. Cela pouvait provoquer une corruption de mémoire distante lorsqu’un octet \0 surchargeait les métadonnées de tas dans le fragment suivant et son indicateur PREV_INUSE.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 1.3.2-2+deb9u3.

Nous vous recommandons de mettre à jour vos paquets opendmarc.

Pour disposer d'un état détaillé sur la sécurité de opendmarc, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/opendmarc.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.