Рекомендация Debian по безопасности
DSA-3512-1 libotr -- обновление безопасности
- Дата сообщения:
- 09.03.2016
- Затронутые пакеты:
- libotr
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2016-2851.
- Более подробная информация:
-
Маркус Ферфир из X41 D-Sec GmbH обнаружил переполнение целых чисел в libotr, библиотеке для конфиденциального (OTR) обмена сообщениями, в способе, используемом этой библиотекой для хранения размера частей входящих сообщений. Удалённый злоумышленник может использовать эту уязвимость, отправив специально сформированные сообщения приложению, использующему libotr, для вызова отказа в обслуживании (аварийная остановка приложения), или потенциального выполнения произвольного кода с правами пользователя, запустившего такое приложение.
В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 3.2.1-1+deb7u2.
В стабильном выпуске (jessie) эта проблема была исправлена в версии 4.1.0-2+deb8u1.
Рекомендуется обновить пакеты libotr.