Информация по безопасности / 2015 / Информация о безопасности -- DSA-3255-1 zeromq3

Рекомендация Debian по безопасности

DSA-3255-1 zeromq3 -- обновление безопасности

Дата сообщения:

10.05.2015

Затронутые пакеты:

zeromq3

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 784366.
В каталоге Mitre CVE: CVE-2014-9721.

Более подробная информация:

Было обнаружено, что libzmq, легковесное ядро для обмена сообщениями, может быть подвержено атаке на снижение версии протокола по сокетам, использующим протокол ZMTP v3. Эта уязвимость может позволить удалённым злоумышленникам обойти механизмы безопасности ZMTP v3 путём отправки заголовков ZMTP v2 или более ранних версий.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 4.0.5+dfsg-2+deb8u1.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 4.0.5+dfsg-3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.0.5+dfsg-3.

Рекомендуется обновить пакеты zeromq3.