Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3005-1 gpgme1.0

Säkerhetsbulletin från Debian

DSA-3005-1 gpgme1.0 -- säkerhetsuppdatering

Rapporterat den:

2014-08-14

Berörda paket:

gpgme1.0

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 756651.
I Mitres CVE-förteckning: CVE-2014-3564.

Ytterligare information:

Tomáš Trnka upptäckte ett heap-baserat buffertspill i gpgsm-statushanteraren i GPGME, ett bibliotek designat för att göra åtkomst till GnuPG lättare för applikationer. En angripare kunde utnyttja detta problem för att orsaka en applikation som använder GPGME att krascha (överbelastning) eller möjligen exekvering av godtycklig kod.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2.0-1.4+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1.5.1-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.5.1-1.

Vi rekommenderar att ni uppgraderar era gpgme1.0-paket.