Bulletin d'alerte Debian
DSA-608-1 zgv -- Dépassements d'entier, données d'entrées non sécurisées
- Date du rapport :
- 14 décembre 2004
- Paquets concernés :
- zgv
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 11556.
Dans le dictionnaire CVE du Mitre : CVE-2004-1095, CVE-2004-0999. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans zgv, un visualiseur graphique pour les architectures i386, utilisant SVGAlib. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CAN-2004-1095
« infamous41md » a découvert plusieurs dépassements d'entier dans zgv. L'exploitation à distance d'un dépassement d'entier peut permettre l'exécution d'un code arbitraire.
- CAN-2004-0999
Mikulas Patocka a découvert qu'une image GIF animée malveillante pouvait entraîner une erreur de segmentation de la part de zgv.
Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 5.5-3woody1.
Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés.
Nous vous recommandons de mettre à jour votre paquet zgv immédiatement.
- CAN-2004-1095
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.dsc
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2_i386.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.