Säkerhetsbulletin från Debian

DSA-4570-1 mosquitto -- säkerhetsuppdatering

Rapporterat den:
2019-11-17
Berörda paket:
mosquitto
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 940654.
I Mitres CVE-förteckning: CVE-2019-11779.
Ytterligare information:

En sårbarhet har upptäckts i mosquitto, en meddelandemäklare kompatibel med MQTT version 3.1/3.1.1, som tillåter en illasinnad MQTT-klient att orsaka en överbelastning (stackspill och demonkrasch), genom att skicka ett speciellt skapat SUBSCRIBE-paket som innehåller ett ämne med extremt djup hierarki.

För den stabila utgåvan (Buster) har detta problem rättats i version 1.5.7-1+deb10u1.

Vi rekommenderar att ni uppgraderar era mosquitto-paket.

För detaljerad säkerhetsstatus om mosquitto vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/mosquitto