Aviso de seguridad de Debian

DSA-4761-1 zeromq3 -- actualización de seguridad

Fecha del informe:
7 de sep de 2020
Paquetes afectados:
zeromq3
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2020-15166.
Información adicional:

Se descubrió que ZeroMQ, una biblioteca de mensajería del núcleo ligera, no trata correctamente la conexión de pares antes de que se complete un «handshake». Un cliente remoto no autenticado que se conecte a una aplicación que use la biblioteca libzmq y que utilice un socket escuchando con cifrado/autenticación CURVE habilitados, puede aprovechar este defecto para provocar una denegación de servicio que afecta a clientes autenticados y cifrados.

Para la distribución «estable» (buster), este problema se ha corregido en la versión 4.3.1-4+deb10u2.

Le recomendamos que actualice los paquetes de zeromq3.

Para información detallada sobre el estado de seguridad de zeromq3, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/zeromq3