Säkerhetsbulletin från Debian
DSA-3539-1 srtp -- säkerhetsuppdatering
- Rapporterat den:
- 2016-04-02
- Berörda paket:
- srtp
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 807698.
I Mitres CVE-förteckning: CVE-2015-6360. - Ytterligare information:
-
Randell Jesup och Firefox-gruppen upptäckte att srtp, Cisco's referensimplementation av Secure Real-time Transport Protocol (SRTP), inte hanterar RTP-header CSRC count och extension headerlängd ordentligt. En fjärrangripare kunde exploatera denna brist för att krascha ett program som länkar mot libsrtp, vilket resulterar i överbelastning.
För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.4+20100615~dfsg-2+deb7u2.
För den stabila utgåvan (Jessie) har detta problem rättats i version 1.4.5~20130609~dfsg-1.1+deb8u1.
Vi rekommenderar att ni uppgraderar era srtp-paket.