Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3577-1 jansson

Bulletin d'alerte Debian

DSA-3577-1 jansson -- Mise à jour de sécurité

Date du rapport :

14 mai 2016

Paquets concernés :

jansson

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 823238.
Dans le dictionnaire CVE du Mitre : CVE-2016-4425.

Plus de précisions :

Gustavo Grieco a découvert que jansson, une bibliothèque C pour l'encodage, le décodage et la manipulation de données JSON, ne limitait pas la profondeur de récursivité lors de l'analyse de tableaux ou d'objets JSON. Cela pourrait permettre à des attaquants distants de provoquer un déni de service (plantage) par épuisement de pile, à l'aide de données JSON contrefaites.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.7-1+deb8u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.7-5.

Nous vous recommandons de mettre à jour vos paquets jansson.