Debian-Sicherheitsankündigung

DSA-100-1 gzip -- Möglicher Pufferüberlauf

Datum des Berichts:

13. Jan 2002

Betroffene Pakete:

gzip

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2001-1228.

Weitere Informationen:

GOBBLES hat einen Pufferüberlauf in gzip gefunden, der beim Komprimieren von Dateien mit sehr langen Dateinamen auftritt. Obwohl GOBBLES behauptet, schon einen Exploit dafür geschrieben zu haben, denken andere, dass dieses Problem nicht so einfach auszunutzen ist wie andere Sicherheitslücken.

Zudem stürzt die gzip-Version in der stabilen Distribution von Debian nicht ab, was bedeutet, dass sie dieses Problem nicht direkt enthält. Um jedoch lieber auf der sicheren Seite zu sein, haben wir eine neue Version vorbereitet.

Bitte stellen Sie sicher, dass Sie eine aktuelle Version aus der Distribution stable/unstable/testing mit einer Versionsnummer von mindestens 1.2.4-33 verwenden.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4-33.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4-33.1.dsc; http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/gzip_1.2.4-33.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/gzip_1.2.4-33.1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/gzip_1.2.4-33.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/gzip_1.2.4-33.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/gzip_1.2.4-33.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/gzip_1.2.4-33.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.