Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-3005-1 gpgme1.0

Debians sikkerhedsbulletin

DSA-3005-1 gpgme1.0 -- sikkerhedsopdatering

Rapporteret den:

14. aug 2014

Berørte pakker:

gpgme1.0

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 756651.
I Mitres CVE-ordbog: CVE-2014-3564.

Yderligere oplysninger:

Tomáš Trnka opdagede et heapbaseret bufferoverløb i statushandleren gpgsm i GPGME, et bibliotek beregnet til at gøre adgang til GnuPG lettere for applikationer. En angriber kunne udnytte problemet til at forårsage, at en applikation, der anvender GPGME, gik ned (lammelsesangreb/denial of service) eller muligvis udførelse af vilkårlig kode.

I den stabile distribution (wheezy), er dette problem rettet i version 1.2.0-1.4+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 1.5.1-1.

I den ustabile distribution (sid), er dette problem rettet i version 1.5.1-1.

Vi anbefaler at du opgraderer dine gpgme1.0-pakker.