Debian-Sicherheitsankündigung

DSA-107-1 jgroff -- Format-String-Angriff

Datum des Berichts:

30. Jan 2002

Betroffene Pakete:

jgroff

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.

Weitere Informationen:

Im Grunde ist dies das selbe Sicherheitsgutachten wie DSA 072-1, jedoch für jgroff anstelle von groff. Das Paket jgroff beinhaltet eine von groff abgeleitete Version, die japanische Zeichensätze unterstützt. Dieses Paket ist nur im stable Release von Debian verfügbar, Patches für die japanische Unterstützung wurden in das groff-Paket eingefügt.

Das alte Gutachten sagte:

Zenith Parse hat ein Sicherheitsproblem in groff gefunden (der GNU-Version von troff). Der Befehl pic war für einen printf-Format-Angriff verwundbar, der es ermöglicht, die Option »-S« zu umgehen und beliebigen Code auszuführen.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/jgroff_1.15+ja-3.4.diff.gz; http://security.debian.org/dists/stable/updates/main/source/jgroff_1.15+ja-3.4.dsc; http://security.debian.org/dists/stable/updates/main/source/jgroff_1.15+ja.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/jgroff_1.15+ja-3.4_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/jgroff_1.15+ja-3.4_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/jgroff_1.15+ja-3.4_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/jgroff_1.15+ja-3.4_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/jgroff_1.15+ja-3.4_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/jgroff_1.15+ja-3.4_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.