Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4093-1 openocd

Aviso de seguridad de Debian

DSA-4093-1 openocd -- actualización de seguridad

Fecha del informe:

21 de ene de 2018

Paquetes afectados:

openocd

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 887488.
En el diccionario CVE de Mitre: CVE-2018-5704.

Información adicional:

Josef Gajdusek descubrió que OpenOCD, un depurador de JTAG para ARM y MIPS, era vulnerable a ataques de Cross Protocol Scripting. Un atacante podría manipular una página HTML que, al ser visitada por una víctima que estuviera utilizando OpenOCD, podría ejecutar órdenes arbitrarias en la máquina de la víctima.

Esta actualización también establece que la asociación de OpenOCD por omisión sea localhost, en lugar de todas las interfaces de red. Esto se puede modificar con el nuevo parámetro bindto.

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 0.8.0-4+deb7u1.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 0.9.0-1+deb8u1.

Le recomendamos que actualice los paquetes de openocd.

Para información detallada sobre el estado de seguridad de openocd consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/openocd