Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-228-1 libmcrypt -- Dépassements de tampon et fuite d'information

Date du rapport:

14 janvier 2003

Paquets concernés:

libmcrypt

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 6510, Identificateur BugTraq 6512.
Dans le dictionnaire CVE du Mitre : CVE-2003-0031, CVE-2003-0032.

Pour plus d'information:

Ilia Alshanetsky a découvert plusieurs dépassements de tampon dans libmcrypt, une bibliothèque de cryptage et de décryptage, qui ont pour origine une validation mauvaise ou manquante des entrées. En passant des paramètres qui sont plus longs que prévu à un certain nombre de fonctions (les fonctions multiples sont affectées), l'utilisateur peut faire planter libmcrypt et pourrait insérer du code arbitraire ou bien même malveillant qui serait exécuté par l'utilisateur de libmcrypt, en général un serveur web.

Une autre vulnérabilité vient d'une fuite de mémoire dans l'usage de libtool par libmcrypt pour charger dynamiquement des algorithmes. À chaque chargement, une petite partie de la mémoire n'est pas désallouée. Dans un environnement persistant (comme un serveur web), cela peut permettre de saturer la mémoire en lançant de manière répétée des requêtes à une application utilisant la bibliothèque mcrypt.

Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.5.0-1woody1.

L'ancienne distribution stable (Potato) ne contient pas de paquets libmcrypt.

Pour la distribution instable (Sid), ce problème n'existe pas pour l'actuelle version 2.5.5-1.

Nous vous recommandons de mettre à jour vos paquets libmcrypt.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0-1woody1.dsc

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0-1woody1.diff.gz

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_alpha.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_arm.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_i386.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_ia64.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_hppa.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_m68k.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_mips.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_mipsel.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_powerpc.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_s390.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_sparc.deb

http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) Português Русский (Russkij) suomi svenska

Comment configurer la langue par défaut du document