Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4151-1 librelp

Säkerhetsbulletin från Debian

DSA-4151-1 librelp -- säkerhetsuppdatering

Rapporterat den:

2018-03-26

Berörda paket:

librelp

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2018-1000140.

Ytterligare information:

Bas van Schaik och Kevin Backhouse upptäckte en stack-baserad bufferspillssårbarhet i librelip, ett bibliotek som tillhandahåller pålitlig händelseloggning över nätverket, som triggas under kontroll av x509-certifikat från en klient. En fjärrangripare med möjlighet att ansluta till rsyslog kan dra fördel av denna brist för fjärrkodsexekvering genom att skicka ett speciellt skapat x509-certifikat.

Detaljer kan hittas i uppströmsbulletinen: https://www.rsyslog.com/cve-2018-1000140/

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 1.2.7-2+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.2.12-1+deb9u1.

Vi rekommenderar att ni uppgraderar era librelp-paket.

För detaljerad säkerhetsstatus om librelp vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/librelp