Debians sikkerhedsbulletin
DSA-4570-1 mosquitto -- sikkerhedsopdatering
- Rapporteret den:
- 17. nov 2019
- Berørte pakker:
- mosquitto
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 940654.
I Mitres CVE-ordbog: CVE-2019-11779. - Yderligere oplysninger:
-
En sårbarhed blev opdaget i mosquitto, en messagebroker som er kompatibel med MQTT version 3.1/3.1.1, hvilken gjorde det muligt for en ondsindet MQTT-klient, at forårsage et lammelsesangreb (stakoverløb med dæmonnedbrud), ved at sende en særligt fremstillet SUBSCRIBE-pakke, indeholdende et emne med et ekstremt dybt hierrarki.
I den stabile distribution (buster), er dette problem rettet i version 1.5.7-1+deb10u1.
Vi anbefaler at du opgraderer dine mosquitto-pakker.
For detaljeret sikkerhedsstatus vedrørende mosquitto, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/mosquitto