Säkerhetsbulletin från Debian
DSA-3512-1 libotr -- säkerhetsuppdatering
- Rapporterat den:
- 2016-03-09
- Berörda paket:
- libotr
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-2851.
- Ytterligare information:
-
Markus Vervier från X41 D-Sec GmbH upptäckte en heltalsspillssårbarhet i libotr, ett off-the-record (OTR)-meddelandebibliotek, i sättet som storlekarna på delar av inkommande meddelanden lagrades. En fjärrangripare kan exploatera denna brist genom att skicka skapade meddelanden till en applikations som användare libotr för att utföra överbelastningsangrepp (applikationskrasch), eller potentiellt köra godtycklig kod med samma rättigheter som användaren som kör applikationen.
För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 3.2.1-1+deb7u2.
För den stabila utgåvan (Jessie) har detta problem rättats i version 4.1.0-2+deb8u1.
Vi rekommenderar att ni uppgraderar era libotr-paket.