Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2850-1 libyaml

Säkerhetsbulletin från Debian

DSA-2850-1 libyaml -- heap-baserat buffertspill

Rapporterat den:

2014-01-31

Berörda paket:

libyaml

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 737076.
I Mitres CVE-förteckning: CVE-2013-6393.

Ytterligare information:

Florian Wimer från Red Hats produktsäkerhetsgrupp upptäckte ett heap-baserat buffertspillsproblem i LibYAML, en snabb YAML 1.1-tolk och emitterbibliotek. En fjärrangripare kunde tillhandahålla ett YAML-dokument med en speciellt skapad tagg som, vid tolkning av en applikation som använder sig av libyaml, orsakade applikationen att krascha, eller, potentiellt, köra illasinnad kod med samma rättigheter som användaren som körde applikationen.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 0.1.3-1+deb6u2.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 0.1.4-2+deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.1.4-3.

Vi rekommenderar att ni uppgraderar era libyaml-paket.