Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3255-1 zeromq3

Debians sikkerhedsbulletin

DSA-3255-1 zeromq3 -- sikkerhedsopdatering

Rapporteret den:

10. maj 2015

Berørte pakker:

zeromq3

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 784366.
I Mitres CVE-ordbog: CVE-2014-9721.

Yderligere oplysninger:

Man opdagede at libzmq, en letvægtsbeskedkerne, var sårbar over for et protokolnedgraderingsangreb mod sockets, som anvender ZMTP v3-protokollen. Det kunne gøre det muligt for fjernangribere at omgå sikkerhedsmekanismer i ZMTP v3, ved at sende headere ZMTP v2-format eller tidligere.

I den stabile distribution (jessie), er dette problem rettet i version 4.0.5+dfsg-2+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 4.0.5+dfsg-3.

I den ustabile distribution (sid), er dette problem rettet i version 4.0.5+dfsg-3.

Vi anbefaler at du opgraderer dine zeromq3-pakker.