Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3929-1 libsoup2.4

Säkerhetsbulletin från Debian

DSA-3929-1 libsoup2.4 -- säkerhetsuppdatering

Rapporterat den:

2017-08-10

Berörda paket:

libsoup2.4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 871650.
I Mitres CVE-förteckning: CVE-2017-2885.

Ytterligare information:

Aleksandar Nikolic från Cisco Talos upptäckte ett stack-baserat bufferspill i libsoup2.4, en HTTP-biblioteksimplementation skriven i C. En fjärrangripare kan dra fördel av denna brist genom att skicka en speciellt skapad HTTP-förfrågan för att orsaka att en applikation som använder biblioteket libsoup2.4 att krascha (överbelastning), eller potentiellt köra godtycklig kod.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 2.48.0-1+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2.56.0-2+deb9u1.

Vi rekommenderar att ni uppgraderar era libsoup2.4-paket.