Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4477-1 zeromq3

Bulletin d'alerte Debian

DSA-4477-1 zeromq3 -- Mise à jour de sécurité

Date du rapport :

8 juillet 2019

Paquets concernés :

zeromq3

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-13132.

Plus de précisions :

Fang-Pen Lin a découvert un défaut de dépassement de pile dans ZeroMQ, une bibliothèque centrale légère de messagerie. Un client distant non authentifié se connectant à une application qui utilise la bibliothèque libzmq, exécutée avec l'écoute d'une socket ayant le chiffrage et l'authentification CURVE activés, peut tirer avantage de ce défaut pour provoquer un déni de service ou l'exécution de code arbitraire.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 4.2.1-4+deb9u2.

Pour la distribution stable (buster), ce problème a été corrigé dans la version 4.3.1-4+deb10u1.

Nous vous recommandons de mettre à jour vos paquets zeromq3.

Pour disposer d'un état détaillé sur la sécurité de zeromq3, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/zeromq3.