Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3512-1 libotr

Debians sikkerhedsbulletin

DSA-3512-1 libotr -- sikkerhedsopdatering

Rapporteret den:

9. mar 2016

Berørte pakker:

libotr

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-2851.

Yderligere oplysninger:

Markus Vervier fra X41 D-Sec GmbH opdagede en heltalsoverløbssårbarhed i libotr, en off-the-record-beskedbibliotek (OTR), i den måde hvorpå størrelserne på dele af indgående beskeder blev opbevaret. En fjernangriber kunne udnytte fejlen ved at sende fabrikerede beskeder til en applikation, som anvender libotr, til at iværksætte lammelsesangreb (applikationsnedbrud) eller potentielt udføre vilkårlig kode med rettighederne hørende til brugeren, der kører applikationen.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 3.2.1-1+deb7u2.

I den stabile distribution (jessie), er dette problem rettet i version 4.1.0-2+deb8u1.

Vi anbefaler at du opgraderer dine libotr-pakker.