Säkerhetsinformation / 2019 / Säkerhetsinformation -- DSA-4389-1 libu2f-host

Säkerhetsbulletin från Debian

DSA-4389-1 libu2f-host -- säkerhetsuppdatering

Rapporterat den:

2019-02-11

Berörda paket:

libu2f-host

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 921725.
I Mitres CVE-förteckning: CVE-2018-20340.

Ytterligare information:

Christian Reitter upptäckte att libu2f-host, ett bibliotek som implementerar värd-sidan av U2F-protokollet, inte kontrollerade för buffertspill ordentligt. Detta kunde tillåta en angripare med en speciellt tillverkad illasinnad USB-enhet som agerar som säkerhetsnyckel samt fysisk åtkomst till en dator där PAM U2F eller en applikation med libu2f-host integrerat att potentiellt exekvera godtycklig kod på den datorn.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.1.2-2+deb9u1.

Vi rekommenderar att ni uppgraderar era libu2f-host-paket.

För detaljerad säkerhetsstatus om libu2f-host vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libu2f-host