Säkerhetsbulletin från Debian
DSA-3533-1 openvswitch -- säkerhetsuppdatering
- Rapporterat den:
- 2016-03-29
- Berörda paket:
- openvswitch
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-2074.
- Ytterligare information:
-
Kashyap Thimmaraju och Bhargava Shastry upptäckte ett buffertspill som är triggbart från fjärran i openvswitch, en multilagrad virtuell switchimplementation av produktionskvalitet. Speciellt skapade MPLS-paket kunde spilla över i bufferten som reserverades för MPLS-etiketter i en intern OVS-datastruktur. En fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning, eller potentiellt körning av godtycklig kod.
För den stabila utgåvan (Jessie) har detta problem rättats i version 2.3.0+git20140819-3+deb8u1.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.3.0+git20140819-4.
Vi rekommenderar att ni uppgraderar era openvswitch-paket.