Рекомендация Debian по безопасности

DSA-4151-1 librelp -- обновление безопасности

Дата сообщения:
26.03.2018
Затронутые пакеты:
librelp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2018-1000140.
Более подробная информация:

Бас ван Шаик и Кевин Бэкхаус обнаружили переполнение буфера в стеке в librelp, библиотеке, предоставляющей надёжное журналирование событий по сети, которое возникает в ходе проверки сертификатов x509, полученны от однорангового узла сети. Удалённый злоумышленник, способный подключаться к rsyslog, может использовать данную уязвимость для удалённого выполнения кода путём отправки специально сформированного сертификата x509.

Подробности можно найти в рекомендации основной ветки разработки: https://www.rsyslog.com/cve-2018-1000140/

В предыдущем стабильном выпуске (jessie) эта проблема была исправлена в версии 1.2.7-2+deb8u1.

В стабильном выпуске (stretch) эта проблема была исправлена в версии 1.2.12-1+deb9u1.

Рекомендуется обновить пакеты librelp.

С подробным статусом поддержки безопасности librelp можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/librelp