Bulletin d'alerte Debian

DSA-4151-1 librelp -- Mise à jour de sécurité

Date du rapport :
26 mars 2018
Paquets concernés :
librelp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-1000140.
Plus de précisions :

Bas van Schaik et Kevin Backhouse ont découvert une vulnérabilité de dépassement de pile dans librelp, une bibliothèque fournissant une journalisation fiable d'événements sur le réseau, déclenchée lors de la vérification de certificats x509 reçus d'un pair. Un attaquant distant capable de se connecter à rsyslog peut tirer avantage de ce défaut pour exécuter du code distant en envoyant un certificat x509 contrefait pour l'occasion.

Plus de détails sont disponibles dans l'annonce amont : https://www.rsyslog.com/cve-2018-1000140/

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 1.2.7-2+deb8u1.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.2.12-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets librelp.

Pour disposer d'un état détaillé sur la sécurité de librelp, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/librelp