Рекомендация Debian по безопасности
DSA-2614-1 libupnp -- несколько уязвимостей
- Дата сообщения:
- 01.02.2013
- Затронутые пакеты:
- libupnp
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 699316.
В каталоге Mitre CVE: CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964, CVE-2012-5965. - Более подробная информация:
-
В libupnp4, библиотеке, используемой для обработки протокола Universal Plug and Play, были обнаружены многочисленные переполнения стека. Эйчди Мур из Rapid7 обнаружил, что запросы SSDP неправильно обрабатываются функцией unique_service_name().
Атакующий, отсылающий специально сформированные запросы SSDP службе, построенной на базе libupnp4, может вызвать переполнение буфера, перезапись стека, которые приводят к аварийному завершению работы службы и возможному удалённому выполнению кода.
В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1:1.6.6-5+squeeze1.
В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 1:1.6.17-1.2.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:1.6.17-1.2.
Рекомендуется обновить пакеты libupnp.