Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3636-1 collectd

Säkerhetsbulletin från Debian

DSA-3636-1 collectd -- säkerhetsuppdatering

Rapporterat den:

2016-07-30

Berörda paket:

collectd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 832507, Fel 832577.
I Mitres CVE-förteckning: CVE-2016-6254.

Ytterligare information:

Emilien Gaspar upptäckte att collectd, en statistikuppsamlings- och övervakningsdemon, felaktigt behandlade inkommande nätverkspaket. Detta resulterade i ett heapbaserat buffertspill, som tillåter en fjärrangripare att antingen orsaka en DoS via applikationskrasch, eller potentiellt köra godtycklig kod.

Utöver detta upptäckte säkerhetsforskarna på Columbia University och University of Virginia att collectd misslyckas med att verifiera ett returvärde under initiering. Detta betyder att demonen ibland kunde startas utan de önskade, säkra, inställningarna.

För den stabila utgåvan (Jessie) har detta problem rättats i version 5.4.1-6+deb8u1.

För uttestningsutgåvan (Stretch) och den instabila utgåvan (Sid), har detta problem rättats i version 5.5.2-1.

Vi rekommenderar att ni uppgraderar era collectd-paket.