FERRAMENTAS LINUX: Atualização de segurança do Debian para o zeromq3, aviso Debian LTS: DLA-2588-1

quinta-feira, 11 de março de 2021

Atualização de segurança do Debian para o zeromq3, aviso Debian LTS: DLA-2588-1


Confira !

Dois problemas de segurança foram detectados no zeromq3. CVE-2021-20234


- ------------------------------------------------- ------------------------

Debian LTS Advisory DLA-2588-1                 debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Anton Gladky

09 de março de 2021 https://wiki.debian.org/LTS

- ------------------------------------------------- ------------------------


Pacote: zeromq3

Versão: 4.2.1-4 + deb9u4

CVE ID: CVE-2021-20234 CVE-2021-20235


Dois problemas de segurança foram detectados no zeromq3.


CVE-2021-20234


    Vazamento de memória no cliente induzido por servidor (es) malicioso (s) sem CURVE / ZAP.


    Da descrição do problema [1].

    Quando um tubo processa um delimitador e já não está no estado ativo, mas

    ainda tem uma mensagem inacabada, a mensagem vazou.


CVE-2021-20235


    Estouro de heap ao receber pacotes ZMTP v1 malformados.


    Da descrição do problema [2].

    O alocador estático foi implementado para reduzir seu tamanho registrado de forma semelhante

    para o alocador compartilhado. Mas não precisa, e não deveria,

    porque ao contrário do compartilhado, o alocador estático sempre usa um estático

    buffer, com um tamanho definido pela opção de socket ZMQ_IN_BATCH_SIZE

    (padrão 8192), portanto, alterar o tamanho abre a biblioteca para estouros de heap.

    O alocador estático é usado apenas com pares ZMTP v1.


[1] https://github.com/zeromq/libzmq/security/advisories/GHSA-wfr2-29gj-5w87

[2] https://github.com/zeromq/libzmq/security/advisories/GHSA-fc3w-qxf5-7hp6


Para Debian 9 stretch, esses problemas foram corrigidos na versão

4.2.1-4 + deb9u4.


Recomendamos que você atualize seus pacotes zeromq3.


Para o status de segurança detalhado de zeromq3, consulte

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/zeromq3


Mais informações sobre os avisos de segurança do Debian LTS, como se inscrever

essas atualizações para o seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS





Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário