Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2778-1 libapache2-mod-fcgid

Säkerhetsbulletin från Debian

DSA-2778-1 libapache2-mod-fcgid -- heapbaserat buffertspill

Rapporterat den:

2013-10-12

Berörda paket:

libapache2-mod-fcgid

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-4365.

Ytterligare information:

Robert Matthews upptäckte att Apache-modulen FCGID, en FastCGI-implementation för HTTP-servern Apache, misslyckas att utföra tillräcklig begränsningskontroll på användartillhandahållen indata. Detta kan tillåta en fjärrangripare att orsaka ett heap-baserat buffertspill, vilket kan resultera i en överbelastning eller potentiellt tillåta körning av illasinnad kod.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1:2.3.6-1+squeeze2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1:2.3.6-1.2+deb7u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:2.3.9-1.

Vi rekommenderar att ni uppgraderar era libapache2-mod-fcgid-paket.