Aviso de seguridad de Debian

DSA-752-1 gzip -- varias vulnerabilidades

Fecha del informe:
11 de jul de 2005
Paquetes afectados:
gzip
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 305255.
En el diccionario CVE de Mitre: CVE-2005-0988, CVE-2005-1228.
Información adicional:

Se han descubierto dos problemas en gzip, la utilidad de compresión GNU. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas.

  • CAN-2005-0988

    Imran Ghory descubrió una condición de fuga en el código de definición de permisos de gzip. Al descomprimir un archivo en un directorio, un atacante que tuviese acceso a dicho directorio podía engañar a gzip para que definiese los permisos de otro archivo diferente en el que tuviese permiso el usuario.

  • CAN-2005-1228

    Ulf Härnhammar descubrió una vulnerabilidad de travesía por directorio en gunzip. Cuando gunzip se usaba con la opción -N, un atacante podía usar esta vulnerabilidad para crear archivos en un directorio arbitrario con los permisos del usuario.

Para la distribución estable anterior (woody), estos problemas se han corregido en la versión 1.3.2-3woody5.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.3.5-10.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.3.5-10.

Le recomendamos que actualice el paquete gzip.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.dsc
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5.diff.gz
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.2-3woody5_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.