<div dir="ltr"><div class="gmail_default" style="font-size:small">Hi,</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">we are not happy yet with those commits because they change a struct without bumping the soname. We are investigating how impactful that is.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jun 25, 2020 at 6:27 PM Salvatore Bonaccorso <<a href="mailto:carnil@debian.org">carnil@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
On Thu, Jun 25, 2020 at 10:29:20PM +0200, Salvatore Bonaccorso wrote:<br>
> Source: net-snmp<br>
> Version: 5.8+dfsg-2<br>
> Severity: grave<br>
> Tags: security upstream<br>
> Justification: user security hole<br>
> <br>
> Hi,<br>
> <br>
> The following vulnerability was published for net-snmp.<br>
> <br>
> CVE-2019-20892[0]:<br>
> | net-snmp before 5.8.1.pre1 has a double free in<br>
> | usm_free_usmStateReference in snmplib/snmpusm.c via an SNMPv3 GetBulk<br>
> | request. NOTE: this affects net-snmp packages shipped to end users by<br>
> | multiple Linux distributions, but might not affect an upstream<br>
> | release.<br>
> <br>
> See [1] for the CVE heads-up post, and [2] the Launchpad Bug where the<br>
> issue originally is tracked from. The issue can be verified with:<br>
> <br>
> | # systemctl stop snmpd.service<br>
> | # cat >> /var/lib/snmp/snmpd.conf << __EOF__<br>
> | createUser testuser SHA "testpass" AES "testpass"<br>
> | __EOF__<br>
> | # cat >> /etc/snmp/snmpd.conf << __EOF__<br>
> | rwuser testuser<br>
> | __EOF__<br>
> | # systemctl start snmpd.service<br>
> | # snmpbulkget -v3 -Cn1 -Cr1472 -l authPriv -u testuser -a SHA -A testpass -x AES -X testpass 127.0.0.1 1.3.6.1.2.1.1.5 1.3.6.1.2.1.1.7<br>
> <br>
> If you fix the vulnerability please also make sure to include the<br>
> CVE (Common Vulnerabilities & Exposures) id in your changelog entry.<br>
> <br>
> For further information see:<br>
> <br>
> [0] <a href="https://security-tracker.debian.org/tracker/CVE-2019-20892" rel="noreferrer" target="_blank">https://security-tracker.debian.org/tracker/CVE-2019-20892</a><br>
>     <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-20892" rel="noreferrer" target="_blank">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-20892</a><br>
> [1] <a href="https://www.openwall.com/lists/oss-security/2020/06/25/4" rel="noreferrer" target="_blank">https://www.openwall.com/lists/oss-security/2020/06/25/4</a><br>
> [2] <a href="https://bugs.launchpad.net/ubuntu/+source/net-snmp/+bug/1877027" rel="noreferrer" target="_blank">https://bugs.launchpad.net/ubuntu/+source/net-snmp/+bug/1877027</a><br>
> <br>
> Please adjust the affected versions in the BTS as needed, I'm not sure<br>
> where the issue has been introduced, but possibly does not affect<br>
> indeed older suites (please do double check).<br>
<br>
In Ubuntu<br>
<a href="https://launchpad.net/~sergiodj/+archive/ubuntu/net-snmp-bug1877027" rel="noreferrer" target="_blank">https://launchpad.net/~sergiodj/+archive/ubuntu/net-snmp-bug1877027</a><br>
was prepared containing a set of commits which seem to adress the<br>
issue (cf. the LP: 1877027 reference).<br>
<br>
Regards,<br>
Salvatore<br>
<br>
</blockquote></div>