Ilia Alshanetsky descobriu vários buffer overflows na libmcrypt, uma biblioteca para decriptografia e criptografia, que originam-se a partir de uma validação de saída inadequada. Ao passar uma saída, que é mais longa do que esperada, a um número de funções (múltiplas funções são afetadas), o usuário pode fazer com sucesso com que a libmcrypt trave e pode também estar apto a inserir código arbitrário e malicioso que pode ser executado sob o usuário libmcrypt, por exemplo, dentro de um servidor web.
Outra vulnerabilidade existe na forma como a libmcrypt carrega algoritimos via libtool. Quando diferentes algoritimos são carregados dinamicamente, cada vez que isso acontece, uma pequena parte de memória é perdida. Em um ambiente persistente (como um servidor web) isto pode levar a um ataque de exaustão de memória ao lançar requisições repetidas para uma aplicação utilizando a biblioteca mcrypt.
Na distribuição estável (woody), este problema foi corrigido na versão 2.5.0-1woody1.
A antiga distribuição estável (potato) não contém pacotes libmcrypt.
Na distribuição instável (sid), estes problemas foram corrigidos na versão 2.5.5-1.
Nós recomendamos que você atualize seus pacotes libmcrypt.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.