Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2850-1 libyaml

Debians sikkerhedsbulletin

DSA-2850-1 libyaml -- heapbaseret bufferoverløb

Rapporteret den:

31. jan 2014

Berørte pakker:

libyaml

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 737076.
I Mitres CVE-ordbog: CVE-2013-6393.

Yderligere oplysninger:

Florian Weimer fra Red Hat Product Security Team opdagede en heapbaseret bufferoverløbsfejl i LibYAML, et hurtig YAML 1.1-fortolknings- og -kildebibliotek. En fjernangriber kunne levere et YAML-dokument med et særligt fremstillet tag, som ved dets fortolkning i en applikation som benytter libyaml, kunne medføre at applikationen gik ned, eller potentielt udførelse af vilkårlig kode med rettighederne hørende til brugeren, der kører applikationen.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 0.1.3-1+deb6u2.

I den stabile distribution (wheezy), er dette problem rettet i version 0.1.4-2+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 0.1.4-3.

Vi anbefaler at du opgraderer dine libyaml-pakker.