Bulletin d'alerte Debian

DSA-100-1 gzip -- Potentiel dépassement de tampon

Date du rapport :
13 janvier 2002
Paquets concernés :
gzip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2001-1228.
Plus de précisions :

GOBBLES a trouvé un dépassement de tampon dans gzip qui apparaît lors de la compression d'un fichier dont le nom de fichier est très long. Alors même que GOBBLES avoue avoir développé une astuce pour tirer profit de ce bogue, on a aussi entendu dire que ce problème n'était pas exploitable comme d'autres incidents de sécurité.

De plus, la version Debian de gzip dans la publication stable ne connaît pas d'erreur de segmentation, donc n'hérite pas directement de ce problème. Quoi qu'il en soit, mieux vaut prévenir que guérir, aussi nous vous avons préparé une mise à jour.

Veuillez vous assurer que vous utilisez une version à jour pour stable/unstable/testing avec au moins la version 1.2.4-33.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4-33.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4-33.1.dsc
http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/gzip_1.2.4-33.1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/gzip_1.2.4-33.1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/gzip_1.2.4-33.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/gzip_1.2.4-33.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/gzip_1.2.4-33.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/gzip_1.2.4-33.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.