Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-752-1 gzip -- Mehrere Verwundbarkeiten

Datum des Berichts:

11. Jul 2005

Betroffene Pakete:

gzip

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 305255.
In Mitres CVE-Verzeichnis: CVE-2005-0988, CVE-2005-1228.

Weitere Informationen:

Zwei Probleme wurden in gzip entdeckt, dem GNU Kompressionswerkzeug. Das »Common Vulnerabilities and Exposures project« legt die folgenden Probleme fest.

• CAN-2005-0988

  Imran Ghory entdeckte eine Race-Condition im Code für die Einstellung der Rechte in gzip. Beim Dekomprimieren einer Datei in einem Verzeichnis, auf das ein Angreifer Zugriff hat, kann gunzip missbraucht werden, um die Dateirechte auf andere Werte einzustellen als die Benutzerrechte erlauben.

• CAN-2005-1228

  Ulf Härnhammar entdeckte eine Verwundbarkeit durch Verzeichnisüberschreitung in gunzip. Wenn gunzip mit der Option -N verwendet wird, kann ein Angreifer diese Verwundbarkeit ausnutzen, um Dateien in einem beliebigen Verzeichnis mit den Rechten des Benutzers zu erstellen.

Für die alte Stable-Distribution (Woody) wurden diese Probleme in Version 1.3.2-3woody5 behoben.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 1.3.5-10 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 1.3.5-10 behoben.

Wir empfehlen Ihnen, Ihr gzip-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.dsc

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.diff.gz

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français svenska

Wie stellt man die Standardsprache ein