Debian dla-4525libyaml-syck-perl - 安全更新

critical Nessus 插件 ID 307673

语言：

简介

远程 Debian 主机上缺少一个或多个与安全相关的更新。

描述

远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4525 公告中提及的多个漏洞的影响。

- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4525-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2026 年 4 月 09 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

程序包libyaml-syck-perl 版本 1.34-1+deb11u1 CVE ID CVE-2025-11683 CVE-2026-4177

简介

CVE-2025-11683

token.c 中缺少 NULL 终止符导致但越界读取其允许读取邻近的变量。此问题会在含有所有键的哈希和空值的复杂 YAML 文件中发现。

CVE-2026-4177

多个安全漏洞包括 YAML 发射器中高度严重的堆缓冲区溢出。当类名称超过初始分配的 512 字节时会发生堆溢出。base64 解码器可读取超过尾部换行符上的缓冲区末端。 strtok 适当改变 n->type_id从而损坏共享节点数据。节点已具有定位标记时在 syck_hdlr_add_anchor 中会发生内存泄露。传入的定位标记字符串“a”在提前返回时泄漏。

对于 Debian 11 Bullseye这些问题已在 1.34-1+deb11u1 版本中修复。

我们建议您升级 libyaml-syck-perl 程序包。

有关 libyaml-syck-perl 的详细安全状态请参阅其安全跟踪页面网址
https://security-tracker.debian.org/tracker/libyaml-syck-perl

有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。