Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2840-1 srtp

Säkerhetsbulletin från Debian

DSA-2840-1 srtp -- buffertspill

Rapporterat den:

2014-01-10

Berörda paket:

srtp

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 711163.
I Mitres CVE-förteckning: CVE-2013-2139.

Ytterligare information:

Fernando Russ från Groundworks Technologies rapporterade ett buffertspill i srtp, Cisco's referensimplementation av Secure Real-time Transport Protocol (SRTP), i sättet som funktionen crypto_policy_set_from_profile_for_rtp() applicerar kryptografiska profiler till en srtp-policy. En fjärrangripare kunde exploatera denna sårbarhet för att krascha en applikation som länkats till libsrtp, vilket kunde resultera i en överbelastning.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.4.4~dfsg-6+deb6u1.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.4.4+20100615~dfsg-2+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1.4.5~20130609~dfsg-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.4.5~20130609~dfsg-1.

Vi rekommenderar att ni uppgraderar era srtp-paket.