Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3512-1 libotr

Bulletin d'alerte Debian

DSA-3512-1 libotr -- Mise à jour de sécurité

Date du rapport :

9 mars 2016

Paquets concernés :

libotr

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-2851.

Plus de précisions :

Markus Vervier de X41 D-Sec GmbH a découvert dans libotr, une bibliothèque de protocole cryptographique (off-the-record – OTR) pour messagerie instantanée, une vulnérabilité par dépassement d'entier dans la façon dont les tailles de morceaux de message étaient enregistrées. Un attaquant distant peut exploiter ce défaut en envoyant des messages trafiqués à une application utilisant libotr, pour réaliser des attaques de déni de service (plantage de l'application), ou, potentiellement, exécuter du code arbitraire avec les droits de l'utilisateur de l'application.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 3.2.1-1+deb7u2.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 4.1.0-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets libotr.