Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2440-1 libtasn1-3

Bulletin d'alerte Debian

DSA-2440-1 libtasn1-3 -- Vérification de limites manquante

Date du rapport :

24 mars 2012

Paquets concernés :

libtasn1-3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-1569.

Plus de précisions :

Matthew Hall a découvert que plusieurs appelants de la fonction asn1_get_length_der ne vérifiaient pas le résultat par rapport à la longueur globale du tampon avant de continuer son traitement. Cela pourrait avoir pour conséquence des accès mémoire hors limites et des plantages d'application. Les applications utilisant GNUTLS sont concernées par ce problème.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.7-1+squeeze+1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.12-1.

Nous vous recommandons de mettre à jour vos paquets libtasn1-3.