Aviso de seguridad de Debian

DSA-608-1 zgv -- desbordamientos de buffer, entrada no saneada

Fecha del informe:
14 de dic de 2004
Paquetes afectados:
zgv
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 11556.
En el diccionario CVE de Mitre: CVE-2004-1095, CVE-2004-0999.
Información adicional:

Se han descubierto varias vulnerabilidades en zgv, un visor de gráficos con SVGAlib para la arquitectura i386. El proyecto Common Vulnerabilities and Exposures (Exposiciones y Vulnerabilidades Comunes) identifica los siguientes problemas:

  • CAN-2004-1095

    «infamous41md» descubrió varios desbordamientos de entero en zgv. El aprovechamiento remoto de un desbordamiento de entero podría permitir la ejecución de código arbitrario.

  • CAN-2004-0999

    Mikulas Patocka descubrió que ciertos archivos GIF animados manipulados podían provocar un fallo de segmentación en zgv.

Para la distribución estable (woody), estos problemas se han corregido en la versión 5.5-3woody1.

Para la distribución estable (sid), estos problemas se corregirán en breve.

Le recomendamos que actualice inmediatamente el paquete zgv.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.dsc
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5.orig.tar.gz
Intel IA-32:
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2_i386.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.