Säkerhetsbulletin från Debian

DSA-4151-1 librelp -- säkerhetsuppdatering

Rapporterat den:
2018-03-26
Berörda paket:
librelp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2018-1000140.
Ytterligare information:

Bas van Schaik och Kevin Backhouse upptäckte en stack-baserad bufferspillssårbarhet i librelip, ett bibliotek som tillhandahåller pålitlig händelseloggning över nätverket, som triggas under kontroll av x509-certifikat från en klient. En fjärrangripare med möjlighet att ansluta till rsyslog kan dra fördel av denna brist för fjärrkodsexekvering genom att skicka ett speciellt skapat x509-certifikat.

Detaljer kan hittas i uppströmsbulletinen: https://www.rsyslog.com/cve-2018-1000140/

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 1.2.7-2+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.2.12-1+deb9u1.

Vi rekommenderar att ni uppgraderar era librelp-paket.

För detaljerad säkerhetsstatus om librelp vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/librelp