Ilia Alshanetsky descubrió varios desbordamientos de búfer en libmcrypt, una biblioteca de cifrado y descifrado, que tenían su origen en una validación de entraba inadecuada. Al pasar una entrada mayor de la esperada a algunas funciones (se ven afectadas múltiples funciones), el usuario podía hacer caer libmcrypt y ser capaz de insertar código arbitrario y malvado que se ejecutaría bajo el usuario con el que estuviera corriendo libmcrypt, por ejemplo, desde dentro de un servidor web.
Había otra vulnerabilidad en la forma en la que libmcrypt cargaba los algoritmos vía libtool. Al cargar diferentes algoritmos dinámicamente, cada vez que se cargaba un algoritmo, se desperdiciaba una pequeña parte de la memoria. En un entorno persistente (servidor web), esto podía llevar a un ataque de agotamiento de memoria que agotaría toda la memoria disponible lanzando peticiones repetidas con una aplicación que estuviera utilizando la biblioteca mcrypt.
Para la distribución estable actual (woody), estos problemas se han corregido en la version 2.5.0-1woody1.
La distribución estable actual (potato) no contenía paquetes de libmcrypt.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.5.5-1.
Le recomendamos que actualice los paquetes de libmcrypt.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.