]> git.ipfire.org Git - people/mfischer/ipfire-2.x.git/commit
projects / people / mfischer / ipfire-2.x.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 05f7f6d) | patch
netsnmpd: Update to version 5.9.3
authorAdolf Belka <adolf.belka@ipfire.org>
Thu, 15 Aug 2024 07:48:17 +0000 (09:48 +0200)
committerMichael Tremer <michael.tremer@ipfire.org>
Thu, 15 Aug 2024 10:45:48 +0000 (10:45 +0000)
commit0915078267009f6158222cbbebbb23196283fe39
tree014461efb80db537280b4c198764bb430e48951ctree
parent05f7f6d76de981c5e611a9c78cc920ec7fd5b923commit | diff
netsnmpd: Update to version 5.9.3

- Update from version 5.9.1 to 5.9.3
- Version 5.9.4 exists but it is indicated that SNMP over TLS and/or DTLS is not
   functioning properly with various versions of OpenSSL. However I could not find which
   versions mentioned in the News or Changelog. The problem will be fixed in a future
   version. There are no CVE fixes in 5.9.4, only a relatively few bug fixes so I
   decided to wait for the fixed version in case there are users using TLS with SNMP.
- Update of rootfile
- 6 CVE fixes in 5.9.3
- Changelog
    5.9.3
    security:
      - These two CVEs can be exploited by a user with read-only credentials:
          - CVE-2022-24805 A buffer overflow in the handling of the INDEX of
            NET-SNMP-VACM-MIB can cause an out-of-bounds memory access.
          - CVE-2022-24809 A malformed OID in a GET-NEXT to the nsVacmAccessTable
            can cause a NULL pointer dereference.
      - These CVEs can be exploited by a user with read-write credentials:
          - CVE-2022-24806 Improper Input Validation when SETing malformed
            OIDs in master agent and subagent simultaneously
          - CVE-2022-24807 A malformed OID in a SET request to
            SNMP-VIEW-BASED-ACM-MIB::vacmAccessTable can cause an
            out-of-bounds memory access.
          - CVE-2022-24808 A malformed OID in a SET request to
            NET-SNMP-AGENT-MIB::nsLogTable can cause a NULL pointer dereference
          - CVE-2022-24810 A malformed OID in a SET to the nsVacmAccessTable
            can cause a NULL pointer dereference.
      - To avoid these flaws, use strong SNMPv3 credentials and do not share them.
        If you must use SNMPv1 or SNMPv2c, use a complex community string
        and enhance the protection by restricting access to a given IP address
range.
      - Thanks are due to Yu Zhang of VARAS@IIE and Nanyu Zhong of VARAS@IIE for
        reporting the following CVEs that have been fixed in this release, and
        to Arista Networks for providing fixes.
    misc:
      - Snmp-create-v3-user: Fix the snmpd.conf path   @datadir@ is
expanded in ${datarootdir} so datarootdir must be set before
@datadir@ is used.
    general: Many bug fixes
    5.9.2
    skipped due to a last minute library versioning found bug -- use 5.9.3 instead

Signed-off-by: Adolf Belka <adolf.belka@ipfire.org>
Signed-off-by: Michael Tremer <michael.tremer@ipfire.org>
config/rootfiles/packages/netsnmpd diff | blob | blame | history
lfs/netsnmpd diff | blob | blame | history
Matthias' tree of IPFire 2.x