Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-3078-1 libksba

Debians sikkerhedsbulletin

DSA-3078-1 libksba -- sikkerhedsopdatering

Rapporteret den:

27. nov 2014

Berørte pakker:

libksba

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 770972.
I Mitres CVE-ordbog: CVE-2014-9087.

Yderligere oplysninger:

En heltalsunderløbsfejl, førende til et heapbaseret bufferoverløb, blev fundet i funktionen ksba_oid_to_str() i libksba, et X.509- og CMS-(PKCS#7)-bibliotek. Ved at anvende særligt fremstillede S/MIME-meddelelser eller ECC-baserede OpenPGP-data, var det muligt at udvirke et bufferoverløb, som kunne medføre at en applikation, der anvender libksba, gik ned (lammelsesangreb), eller potentielt kunne udføre vilkårlig kode.

I den stabile distribution (wheezy), er dette problem rettet i version 1.2.0-2+deb7u1.

I den kommende stabile distribution (jessie), er dette problem rettet i version 1.3.2-1.

I den ustabile distribution (sid), er dette problem rettet i version 1.3.2-1.

Vi anbefaler at du opgraderer dine libksba-pakker.