Информация по безопасности / 2016 / Информация о безопасности -- DSA-3736-1 libupnp

Рекомендация Debian по безопасности

DSA-3736-1 libupnp -- обновление безопасности

Дата сообщения:

16.12.2016

Затронутые пакеты:

libupnp

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 831857, Ошибка 842093.
В каталоге Mitre CVE: CVE-2016-6255, CVE-2016-8863.

Более подробная информация:

В libupnp, переносимом комплекте разработчика для UPnP-устройств, были обнаружены две уязвимости.

• CVE-2016-6255

  Мэтью Гаррет обнаружил, что libupnp по умолчанию позволяет любому пользователю выполнять запись в файловую систему узла, на котором запущено серверное приложение на основе libupnp.

• CVE-2016-8863

  Скотт Тенаглиа обнаружил переполнение динамической памяти, которое может приводить к отказу в обслуживании или удалённому выполнению кода.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1:1.6.19+git20141001-1+deb8u1.

В тестируемом (stretch) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1:1.6.19+git20160116-1.2.

Рекомендуется обновить пакеты libupnp.