Bulletin d'alerte Debian

DSA-608-1 zgv -- Dépassements d'entier, données d'entrées non sécurisées

Date du rapport :
14 décembre 2004
Paquets concernés :
zgv
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 11556.
Dans le dictionnaire CVE du Mitre : CVE-2004-1095, CVE-2004-0999.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans zgv, un visualiseur graphique pour les architectures i386, utilisant SVGAlib. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

  • CAN-2004-1095

    « infamous41md » a découvert plusieurs dépassements d'entier dans zgv. L'exploitation à distance d'un dépassement d'entier peut permettre l'exécution d'un code arbitraire.

  • CAN-2004-0999

    Mikulas Patocka a découvert qu'une image GIF animée malveillante pouvait entraîner une erreur de segmentation de la part de zgv.

Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 5.5-3woody1.

Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés.

Nous vous recommandons de mettre à jour votre paquet zgv immédiatement.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.dsc
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5.orig.tar.gz
Intel IA-32:
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2_i386.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.