Confira !
Dois problemas de segurança foram detectados no zeromq3. CVE-2021-20234
- ------------------------------------------------- ------------------------
Debian LTS Advisory DLA-2588-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/ Anton Gladky
09 de março de 2021 https://wiki.debian.org/LTS
- ------------------------------------------------- ------------------------
Pacote: zeromq3
Versão: 4.2.1-4 + deb9u4
CVE ID: CVE-2021-20234 CVE-2021-20235
Dois problemas de segurança foram detectados no zeromq3.
CVE-2021-20234
Vazamento de memória no cliente induzido por servidor (es) malicioso (s) sem CURVE / ZAP.
Da descrição do problema [1].
Quando um tubo processa um delimitador e já não está no estado ativo, mas
ainda tem uma mensagem inacabada, a mensagem vazou.
CVE-2021-20235
Estouro de heap ao receber pacotes ZMTP v1 malformados.
Da descrição do problema [2].
O alocador estático foi implementado para reduzir seu tamanho registrado de forma semelhante
para o alocador compartilhado. Mas não precisa, e não deveria,
porque ao contrário do compartilhado, o alocador estático sempre usa um estático
buffer, com um tamanho definido pela opção de socket ZMQ_IN_BATCH_SIZE
(padrão 8192), portanto, alterar o tamanho abre a biblioteca para estouros de heap.
O alocador estático é usado apenas com pares ZMTP v1.
[1] https://github.com/zeromq/libzmq/security/advisories/GHSA-wfr2-29gj-5w87
[2] https://github.com/zeromq/libzmq/security/advisories/GHSA-fc3w-qxf5-7hp6
Para Debian 9 stretch, esses problemas foram corrigidos na versão
4.2.1-4 + deb9u4.
Recomendamos que você atualize seus pacotes zeromq3.
Para o status de segurança detalhado de zeromq3, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/zeromq3
Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever
essas atualizações para o seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS
Até a próxima !
Nenhum comentário:
Postar um comentário