Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4154-1 net-snmp

Aviso de seguridad de Debian

DSA-4154-1 net-snmp -- actualización de seguridad

Fecha del informe:

28 de mar de 2018

Paquetes afectados:

net-snmp

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 788964, error 894110.
En el diccionario CVE de Mitre: CVE-2015-5621, CVE-2018-1000116.

Información adicional:

Se descubrió una vulnerabilidad por corrupción de la memoria dinámica («heap») en net-snmp, una colección de aplicaciones de Protocolo simple de administración de red (SNMP, por sus siglas en inglés), que se manifiesta durante el análisis sintáctico de la PDU previo al proceso de autenticación. Un atacante remoto no autenticado puede aprovechar este defecto para hacer caer el proceso snmpd (provocando denegación de servicio) o, potencialmente, para ejecutar código arbitrario con los privilegios del usuario que ejecuta snmpd.

Para la distribución «antigua estable» (jessie), estos problemas se han corregido en la versión 5.7.2.1+dfsg-1+deb8u1.

Para la distribución «estable» (stretch), estos problemas ya estaban corregidos en la versión inicial.

Le recomendamos que actualice los paquetes de net-snmp.

Para información detallada sobre el estado de seguridad de net-snmp consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/net-snmp