Debian DSA-3119-1：libevent - セキュリティ更新

high Nessus プラグイン ID 80393

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Catalyst の Andrew Bartlett 氏は、Libevent evbuffer API を使用している特定のアプリケーションに影響を与えている不具合を報告しました。この不具合により、極端に大きな入力を evbuffer に渡すアプリケーションが開いたままになり、ヒープオーバーフローまたは無限ループを引き起こす可能性があります。この欠陥を悪用するために、攻撃者は、プログラムにバッファチャンクを単独の size_t または off_t に収まるよりも大きくすることを施行させる方法を、見つけることができる必要があります。

ソリューション

libevent パッケージをアップグレードしてください。

安定版（stable）ディストリビューション（wheezy）では、この問題はバージョン2.0.19-stable-3+deb7u1 で修正されています。

将来の安定版（stable）ディストリビューション（jessie）および不安定版（unstable）ディストリビューション（sid）に対して、この問題はまもなく修正される予定です。