Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3078-1 libksba

Säkerhetsbulletin från Debian

DSA-3078-1 libksba -- säkerhetsuppdatering

Rapporterat den:

2014-11-27

Berörda paket:

libksba

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 770972.
I Mitres CVE-förteckning: CVE-2014-9087.

Ytterligare information:

En brist rörande heltalsunderflöde som kan leda till heapbaserat buffertspill, har upptäckts i ksba_oid_to_str()-funktionen i libksba, ett X.509 och CMS (PKCS#7)-bibliotek. Genom att använda speciellt skapade S/MIME-meddelanden eller ECC-baserad OpenPGP-data är det möjligt att skapa ett buffertspill, som kan orsaka en applikation som använder libksba att krascha (överbelastning) eller potentiellt köra godtycklig kod.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2.0-2+deb7u1.

För den kommande stabila utgåvan (Jessie) har detta problem rättats i version 1.3.2-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.3.2-1.

Vi rekommenderar att ni uppgraderar era libksba-paket.