Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2577-1 libssh

Bulletin d'alerte Debian

DSA-2577-1 libssh -- Plusieurs vulnérabilités

Date du rapport :

1^er décembre 2012

Paquets concernés :

libssh

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-4559, CVE-2012-4561, CVE-2012-4562, CVE-2012-6063.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libssh par Florian Weimer et Xi Wang :

• CVE-2012-4559 : plusieurs défauts de double libération de zone de mémoire (free()) ;

• CVE-2012-4561 : plusieurs défauts de libération de zone de mémoire (free()) incorrecte ;

• CVE-2012-4562 : plusieurs vérifications incorrectes de dépassement.

Cela pourrait conduire à un déni de service en liant un client SSH à un plantage de libssh, et peut-être même à l'exécution de code arbitraire.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 0.4.5-3+squeeze1.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 0.5.3-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.5.3-1.

Nous vous recommandons de mettre à jour vos paquets libssh.