Sikkerhedsoplysninger / 2020 / Sikkerhedsoplysninger -- DSA-4607-1 openconnect

Debians sikkerhedsbulletin

DSA-4607-1 openconnect -- sikkerhedsopdatering

Rapporteret den:

20. jan 2020

Berørte pakker:

openconnect

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 940871.
I Mitres CVE-ordbog: CVE-2019-16239.

Yderligere oplysninger:

Lukas Kupczyk rapporterede om en sårbarhed i håndteringen af chunked HTTP i openconnect, en åben klient til Cisco AnyConnect, Pulse og GlobalProtect VPN. En ondsindet HTTP-server (efter at have accepteret dens identitetscertifikat), kunne levere forkerte chunk-længder for chunked HTTP-encoding og dermed forårsage et heapbaseret bufferoverløb.

I den gamle stabile distribution (stretch), er dette problem rettet i version 7.08-1+deb9u1.

I den stabile distribution (buster), er dette problem rettet i version 8.02-1+deb10u1.

Vi anbefaler at du opgraderer dine openconnect-pakker.

For detaljeret sikkerhedsstatus vedrørende openconnect, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/openconnect