Alerta de Segurança Debian

DSA-608-1 zgv -- estouros de inteiro, entrada não-sanitizada

Data do Alerta:
14 Dez 2004
Pacotes Afetados:
zgv
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 11556.
No dicionário CVE do Mitre: CVE-2004-1095, CVE-2004-0999.
Informações adicionais:

Várias vulnerabilidades foram descobertas no zgv, um visualizador de gráficos SVGAlib para a arquitetura i386. O Common Vulnerabilities and Exposures Project indentificou os seguintes problemas:

  • CAN-2004-1095

    "infamous41md" descobriu vários estouros de inteiro no zgv. A exploração remota de uma vulnerabilidade de estouro de inteiro poderia permitir a execução de código arbitrário.

  • CAN-2004-0999

    Mikulas Patocka descobriu que imagens múltiplas (animações) GIF maliciosas poderiam causar uma falha de segmentação no zgv.

Na distribuição estável (woody), estes problemas foram corrigidos na versão 5.5-3woody1.

Na distribuição instável (sid), estes problemas serão corrigidos em breve.

Nós recomendamos que você atualize seu pacote zgv imediatamente.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.dsc
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5.orig.tar.gz
Intel IA-32:
http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2_i386.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.