Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3255-1 zeromq3

Bulletin d'alerte Debian

DSA-3255-1 zeromq3 -- Mise à jour de sécurité

Date du rapport :

10 mai 2015

Paquets concernés :

zeromq3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 784366.
Dans le dictionnaire CVE du Mitre : CVE-2014-9721.

Plus de précisions :

libzmq, un noyau de messagerie léger, est vulnérable à une attaque de dégradation du protocole sur les sockets utilisant le protocole ZMTP v3. Cela pourrait permettre à des attaquants distants de contourner les mécanismes de sécurité de ZMTP v3 en envoyant des en-têtes de versions ZMTP v2 ou précédentes.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 4.0.5+dfsg-2+deb8u1.

Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 4.0.5+dfsg-3.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.0.5+dfsg-3.

Nous vous recommandons de mettre à jour vos paquets zeromq3.