Debians sikkerhedsbulletin
DSA-4761-1 zeromq3 -- sikkerhedsopdatering
- Rapporteret den:
- 7. sep 2020
- Berørte pakker:
- zeromq3
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2020-15166.
- Yderligere oplysninger:
-
Man opdagede at ZeroMQ, et letvægtsbibliotek til kernel messaging, ikke på korrekt vis håndterede forbindende peers før et handshake var fuldført. En fjern, uautentificeret klient, der forbinder sig til en applikation ved hjælp af biblioteket libzmq, kørende med en socket som lytter med aktiveret CURVE-kryptering/autentifikation, kunne drage nytte af fejlen til at forårsage et lammelsesangreb, der påvirkede autentificerede og krypterede klienter.
I den stabile distribution (buster), er dette problem rettet i version 4.3.1-4+deb10u2.
Vi anbefaler at du opgraderer dine zeromq3-pakker.
For detaljeret sikkerhedsstatus vedrørende zeromq3, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/zeromq3