Информация по безопасности / 2013 / Информация о безопасности -- DSA-2614-1 libupnp

Рекомендация Debian по безопасности

DSA-2614-1 libupnp -- несколько уязвимостей

Дата сообщения:

01.02.2013

Затронутые пакеты:

libupnp

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 699316.
В каталоге Mitre CVE: CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964, CVE-2012-5965.

Более подробная информация:

В libupnp4, библиотеке, используемой для обработки протокола Universal Plug and Play, были обнаружены многочисленные переполнения стека. Эйчди Мур из Rapid7 обнаружил, что запросы SSDP неправильно обрабатываются функцией unique_service_name().

Атакующий, отсылающий специально сформированные запросы SSDP службе, построенной на базе libupnp4, может вызвать переполнение буфера, перезапись стека, которые приводят к аварийному завершению работы службы и возможному удалённому выполнению кода.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1:1.6.6-5+squeeze1.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 1:1.6.17-1.2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:1.6.17-1.2.

Рекомендуется обновить пакеты libupnp.