Subject: [ASA-201611-17] libgit2: отказ в обслуживании

Рекомендация по безопасности UBLinux ASA-201611-17
==================================================

Уровень  : Низкий
Дата     : 2016-11-16
CVE-ID   : CVE-2016-8568 CVE-2016-8569
Пакет    : libgit2
Тип      : отказ в обслуживании
Удалённо : Да
Ссылка   : https://security.ublinux.ru/AVG-5

Сводка
=======

Пакет libgit2 до версии 1:0.24.3-1 имеет уязвимость отказ в
обслуживании.

Решение
==========

Обновление до версии 1:0.24.3-1.

# pacman -Syu "libgit2>=1:0.24.3-1"

Проблема(ы) была устранена в апстриме в версии 0.24.3.

Путь для обхода
==========

Нет.

Описание
===========

- CVE-2016-8568 (отказ в обслуживании)

При разборе искаженного объектного файла был обнаружен доступ за
пределами диапазона чтения.

- CVE-2016-8569 (отказ в обслуживании)

Обнаружено разыменование нулевого указателя при отображении искаженного
объектного файла.

Влияние
======

Удаленный злоумышленник может создавать специально созданные объектные
файлы, которые привести к сбою приложения и отказу в обслуживании.

Рекомендации
==========

http://seclists.org/oss-sec/2016/q4/64
https://github.com/libgit2/libgit2/issues/3936
https://github.com/libgit2/libgit2/issues/3937
https://security.ublinux.ru/CVE-2016-8568
https://security.ublinux.ru/CVE-2016-8569