Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3577-1 jansson

Säkerhetsbulletin från Debian

DSA-3577-1 jansson -- säkerhetsuppdatering

Rapporterat den:

2016-05-14

Berörda paket:

jansson

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 823238.
I Mitres CVE-förteckning: CVE-2016-4425.

Ytterligare information:

Gustavo Grieco upptäckte att jansson, ett C-bibliotek för kodning, avkodning och manipulering av JSON-data inte begränsar rekursionsdjupet vid tolkning av JSON-fält och -objekt. Detta kunde tillåta fjärrangripare att orsaka en överbelastning (krasch) via förbrukning av stacken, med hjälp av skapad JSON-data.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.7-1+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.7-5.

Vi rekommenderar att ni uppgraderar era jansson-paket.