Sikkerhedsoplysninger / 2019 / Sikkerhedsoplysninger -- DSA-4389-1 libu2f-host

Debians sikkerhedsbulletin

DSA-4389-1 libu2f-host -- sikkerhedsopdatering

Rapporteret den:

11. feb 2019

Berørte pakker:

libu2f-host

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 921725.
I Mitres CVE-ordbog: CVE-2018-20340.

Yderligere oplysninger:

Christian Reitter opdagede at libu2f-host, et bibliotek hvor værtssiden af U2F-protokollen er implementeret, kontrollerede ikke på korrekt vis for et bufferoverløb. Dermed var det muligt for en angriber, med en skræddersyet, ondsindet USB-enhed, som giver sig ud for at være en sikkerhedsnøgle, samt med fysisk adgang til en computer hvor PAM U2F eller en applikation med integreret libu2f-host, potentielt at udføre vilkårlig kode på denne computer.

I den stabile distribution (stretch), er dette problem rettet i version 1.1.2-2+deb9u1.

Vi anbefaler at du opgraderer dine libu2f-host-pakker.

For detaljeret sikkerhedsstatus vedrørende libu2f-host, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/libu2f-host