Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3255-1 zeromq3

Säkerhetsbulletin från Debian

DSA-3255-1 zeromq3 -- säkerhetsuppdatering

Rapporterat den:

2015-05-10

Berörda paket:

zeromq3

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 784366.
I Mitres CVE-förteckning: CVE-2014-9721.

Ytterligare information:

Man har upptäckt att libzmq, en lättviktig meddelandekärna, är sårbar för ett protokollnedgraderingsangrepp på sockets som använder prokollet ZMTP v3. Detta kunde tillåta fjärrangripare att förbigå säkerhetsmekanismer i ZMTP v3 genom att skicka ZMTP-rubriker av version v2 eller tidigare.

För den stabila utgåvan (Jessie) har detta problem rättats i version 4.0.5+dfsg-2+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 4.0.5+dfsg-3.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.0.5+dfsg-3.

Vi rekommenderar att ni uppgraderar era zeromq3-paket.