Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3636-1 collectd

Debians sikkerhedsbulletin

DSA-3636-1 collectd -- sikkerhedsopdatering

Rapporteret den:

30. jul 2016

Berørte pakker:

collectd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 832507, Fejl 832577.
I Mitres CVE-ordbog: CVE-2016-6254.

Yderligere oplysninger:

Emilien Gaspar opdagede at collectd, en dæmon til opsamling og overvågning af statistik, på ukorrekt vis behandlede indgående netværkspakker. Det medførte et heapoverløb, hvilket gjorde det muligt for en fjernangriber at enten forårsage et lammelsesangreb (DoS) gennem applikationsnedbrud eller potentielt udførelse af vilkårlig kode.

Desuden opdagede sikkerhedsefterforskere ved Columbia University og University of Virginia, at collectd ikke kontrollerede en returværdi under initialisering. Det betød, at dæmonen nogle kunne blive startet uden de ønskede sikkerhedsindstillinger.

I den stabile distribution (jessie), er dette problem rettet i version 5.4.1-6+deb8u1.

I distributionen testing (stretch) og i den ustabile distribution (sid), er dette problem rettet i version 5.5.2-1.

Vi anbefaler at du opgraderer dine collectd-pakker.