Ilia Alshanetsky har opdaget flere bufferoverløb i libmcrypt, et bibliotek til dekryptering og kryptering, som stammer fra ukorrekt eller manglende validering af inddata. Ved at sende inddata som er længere end forventet til et antal funktioner (flere funktioner er påvirkede), kan brugeren med held få libmcrypt til at gå ned og kan indsætte vilkårlig, ondsindet kode der vil blive udført under den bruger, libmcrypt kører som, for eksempel som en webserver.
Der er en anden sårbarhed i den måde libmcrypt henter algoritmer via libtool. Når forskellige algoritmer hentes dynamisk, vil en lille smule af hukommelsen blive lækket hver gang en algoritme hentes. I et blivende miljø (webserver), kan dette føre til et hukommelsesudmattelsesangreb, som vil udnytte al tilgængelige hukommelse ved at sende gentagne forespørgsler til et program der anvender mcrypt-biblioteket.
I den aktuelle stabile distribution (woody) er disse problemer rettet i version 2.5.0-1woody1.
Den gamle stabile distribution (potato) indeholder ikke libmcrypt-pakker.
I den ustabile distribution (sid) er disse problemer rettet i version 2.5.5-1.
Vi anbefaler at du opgraderer dine libmcrypt-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.