Säkerhetsbulletin från Debian

DSA-3533-1 openvswitch -- säkerhetsuppdatering

Rapporterat den:
2016-03-29
Berörda paket:
openvswitch
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-2074.
Ytterligare information:

Kashyap Thimmaraju och Bhargava Shastry upptäckte ett buffertspill som är triggbart från fjärran i openvswitch, en multilagrad virtuell switchimplementation av produktionskvalitet. Speciellt skapade MPLS-paket kunde spilla över i bufferten som reserverades för MPLS-etiketter i en intern OVS-datastruktur. En fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning, eller potentiellt körning av godtycklig kod.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.3.0+git20140819-3+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.3.0+git20140819-4.

Vi rekommenderar att ni uppgraderar era openvswitch-paket.