Debian-Sicherheitsankündigung

DSA-272-1 dietlibc -- Integer-Überlauf

Datum des Berichts:
28. Mär 2003
Betroffene Pakete:
dietlibc
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7123.
In Mitres CVE-Verzeichnis: CVE-2003-0028.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#516825, CA-2003-10.
Weitere Informationen:

eEye Digital Security entdeckte einen Integer-Überlauf in der xdrmem_getbytes() Funktion von glibc, die ebenfalls in dietlibc vorhanden ist, einer kleinen speziell für kleine und eingebettete Systeme nützliche libc. Diese Funktion ist Teil des XDR De-/Kodierers, der von Suns RPC-Implementierung abgeleitet ist. Abhängig von der Anwendung kann diese Verwundbarkeit Pufferüberläufe verursachen und möglicherweise ausgenutzt werden, um willkürlichen Code auszuführen.

Für die stable Distribution (Woody) wurde dieses Problem in Version 0.12-2.5 behoben.

Die alte stable Distribution (Potato) enthält keine dietlibc-Pakete.

Für die unstable Distribution (Sid) wurde dieses Problem in Version 0.22-2 behoben.

Wir empfehlen Ihnen, Ihre dietlibc-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.5.dsc
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.5.diff.gz
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-doc_0.12-2.5_all.deb
Alpha:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.5_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.5_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.5_i386.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.5_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.5_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.5_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.5_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.