Säkerhetsbulletin från Debian
DSA-4151-1 librelp -- säkerhetsuppdatering
- Rapporterat den:
- 2018-03-26
- Berörda paket:
- librelp
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2018-1000140.
- Ytterligare information:
-
Bas van Schaik och Kevin Backhouse upptäckte en stack-baserad bufferspillssårbarhet i librelip, ett bibliotek som tillhandahåller pålitlig händelseloggning över nätverket, som triggas under kontroll av x509-certifikat från en klient. En fjärrangripare med möjlighet att ansluta till rsyslog kan dra fördel av denna brist för fjärrkodsexekvering genom att skicka ett speciellt skapat x509-certifikat.
Detaljer kan hittas i uppströmsbulletinen: https://www.rsyslog.com/cve-2018-1000140/
För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 1.2.7-2+deb8u1.
För den stabila utgåvan (Stretch) har detta problem rättats i version 1.2.12-1+deb9u1.
Vi rekommenderar att ni uppgraderar era librelp-paket.
För detaljerad säkerhetsstatus om librelp vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/librelp