Säkerhetsbulletin från Debian
DSA-3736-1 libupnp -- säkerhetsuppdatering
- Rapporterat den:
- 2016-12-16
- Berörda paket:
- libupnp
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 831857, Fel 842093.
I Mitres CVE-förteckning: CVE-2016-6255, CVE-2016-8863. - Ytterligare information:
-
Två sårbarheter har upptäckts i libupnp, en portabel SDK för UPnP-enheter.
- CVE-2016-6255
Matthew Garret upptäckte att libupnp som standard tillåter alla användare att skriva till filsystemet i värdar som kör en libupnp-baserad serverapplikation.
- CVE-2016-8863
Scott Tenaglia upptäckte ett heapbuffertspillssårbarhet som kan leda till överbelastning eller körning av fjärrkod.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:1.6.19+git20141001-1+deb8u1.
För uttestningsutgåvan (Stretch) och den instabila distributionen (Sid), har dessa problem rättats i version 1:1.6.19+git20160116-1.2.
Vi rekommenderar att ni uppgraderar era libupnp-paket.
- CVE-2016-6255