Bezpečnostní zprávy Debianu

DSA-608-1 zgv -- celočíselná přetečení, neošetřený vstup

Datum oznámění:
14.12.2004
Zasažené balíčky:
zgv
Zranitelný:
Ano
Odkazy na bezpečnostní databázi:
In the Bugtraq database (at SecurityFocus): BugTraq ID 11556.
In Mitre's CVE dictionary: CVE-2004-1095, CVE-2004-0999.
Více informací:

Bylo objeveno několik zranitelností v zgv, což je SVGAlib grafický prohlížeč pro i386 architekturu. The Common Vulnerabilities and Exposures Project zjistil následující problémy:

  • CAN-2004-1095

    "infamous41md" objevil mnohonásobná celočíselná přetečení v zgv. Vzdálené zneužití některé zranitelnosti celočíselného přetečení může dovolit spuštění libovolného kódu.

  • CAN-2004-0999

    Mikulas Patocka zjistil, že zlomyslné více-obrázkové (např. animovaný) GIF obrázky mohou způsobit zápis mimo meze (segmentation fault) v zgv.

Pro stable distribuci (woody) byly tyto problémy opraveny ve verzi 5.5-3woody1.

Pro unstable distribuci (sid) budou tyto problémy brzy odstraněny.

Doporučujeme ihned aktualizovat váš balíček zgv.

Opraveno v:

Debian GNU/Linux 3.0 (woody)

Zdroj:
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.dsc
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5.orig.tar.gz
Intel IA-32:
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2_i386.deb

MD5 kontrolní součty (checksums) uvedených souborů jsou dostupné v původní zprávě.