Eckehard Berns さんにより、MIME (Multipurpose Internet Mail Extensions) フォーマットのメールメッセージに含まれるバイナリファイルの (それぞれ の) デコードに用いる、munpack プログラムにバッファオーバフローの問題が 発見されました。munpack プログラムが、所定形式で悪意を持って作成された メール (またはニュース記事) に対して実行された場合、このプログラムは クラッシュし、場合によっては任意のコードを実行させることができる可能性もあります。
Herbert Xu さんにより、不正に作成されたファイル名により、"../a" の ように上位ディレクトリのファイルを参照できるという、もう一つの脆弱性が 発見されました。 先頭につけられる "../" は 1 個だけであること、また新規ファイルの作成のみが 可能であること (ファイルの上書きはできません) により、 セキュリティ上の影響は限られています。
これらの問題はどちらも、旧安定版 (potato) ではバージョン 1.5-5potato2 で、現安定版 (woody) ではバージョン 1.5-7woody2 で、 そして不安定版 (unstable)(sid) ではバージョン version 1.5-9 で 修正されています。
mpack パッケージを早急にアップグレードすることをお勧めします。 We recommend that you upgrade your mpack package immediately.
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。