Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2840-1 srtp

Debians sikkerhedsbulletin

DSA-2840-1 srtp -- bufferoverløb

Rapporteret den:

10. jan 2014

Berørte pakker:

srtp

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 711163.
I Mitres CVE-ordbog: CVE-2013-2139.

Yderligere oplysninger:

Fernando Russ fra Groundworks Technologies rapporterede om en bufferoverløbsfejl i srtp, Ciscos referenceimplementering af Secure Real-time Transport Protocol (SRTP), i hvordan funktionen crypto_policy_set_from_profile_for_rtp() tildeler kryptografiske profiler til en srtp_policy. En fjernangriber kunne udnytte sårbarheden til at få en applikation, som er linket mod libsrtp, til at gå ned, hvilket medførte et lammelsesangreb (denial of service).

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.4.4~dfsg-6+deb6u1.

I den stabile distribution (wheezy), er dette problem rettet i version 1.4.4+20100615~dfsg-2+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 1.4.5~20130609~dfsg-1.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.5~20130609~dfsg-1.

Vi anbefaler at du opgraderer dine srtp-pakker.