Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4093-1 openocd

Säkerhetsbulletin från Debian

DSA-4093-1 openocd -- säkerhetsuppdatering

Rapporterat den:

2018-01-21

Berörda paket:

openocd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 887488.
I Mitres CVE-förteckning: CVE-2018-5704.

Ytterligare information:

Josef Gajdusek upptäckte att OpenOCD, en JTAG-debugger för ARM och MIPS, var sårbar för en Protkollöverskridande skriptangrepp. En angripare kunde skapa en HTML-sida som vid besök av ett offer som kör OpenOCD kunde köra godtyckliga kommandon på offrets värd.

Denna rättning sätter även standard-bindningar för OpenOCD till localhost, istället för alla nätverksgränssnitt. Detta kan ändras genom att lägga till kommandoradsargumentet bindto.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 0.8.0-4+deb7u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 0.9.0-1+deb8u1.

Vi rekommenderar att ni uppgraderar era openocd-paket.

För detaljerad säkerhetsstatus om openocd vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/openocd