Aviso de seguridad de Debian
DSA-752-1 gzip -- varias vulnerabilidades
- Fecha del informe:
- 11 de jul de 2005
- Paquetes afectados:
- gzip
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 305255.
En el diccionario CVE de Mitre: CVE-2005-0988, CVE-2005-1228. - Información adicional:
-
Se han descubierto dos problemas en gzip, la utilidad de compresión GNU. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas.
- CAN-2005-0988
Imran Ghory descubrió una condición de fuga en el código de definición de permisos de gzip. Al descomprimir un archivo en un directorio, un atacante que tuviese acceso a dicho directorio podía engañar a gzip para que definiese los permisos de otro archivo diferente en el que tuviese permiso el usuario.
- CAN-2005-1228
Ulf Härnhammar descubrió una vulnerabilidad de travesía por directorio en gunzip. Cuando gunzip se usaba con la opción -N, un atacante podía usar esta vulnerabilidad para crear archivos en un directorio arbitrario con los permisos del usuario.
Para la distribución estable anterior (woody), estos problemas se han corregido en la versión 1.3.2-3woody5.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.3.5-10.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.3.5-10.
Le recomendamos que actualice el paquete gzip.
- CAN-2005-0988
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.dsc
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.diff.gz
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.