Информация по безопасности / 2014 / Информация о безопасности -- DSA-3078-1 libksba

Рекомендация Debian по безопасности

DSA-3078-1 libksba -- обновление безопасности

Дата сообщения:

27.11.2014

Затронутые пакеты:

libksba

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 770972.
В каталоге Mitre CVE: CVE-2014-9087.

Более подробная информация:

В функции ksba_old_to_str() из libksba, библиотеки X.509 и CMS (PKCS#7), было обнаружено переполнение целых чисел. Используя специально сформированные сообщения S/MIME или ECC на основе данных OpenPGP, можно вызвать переполнение буфера, которое может приводить к аварийному завершению работы (отказу в обслуживании) приложения, использующего libksba, либо к потенциальному выполнению произвольного кода.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.2.0-2+deb7u1.

В готовящемся стабильном выпуске (jessie) эта проблема была исправлена в версии 1.3.2-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.3.2-1.

Рекомендуется обновить пакеты libksba.