Рекомендация Debian по безопасности

DSA-1474-1 exiv2 -- переполнение целых чисел

Дата сообщения:
23.01.2008
Затронутые пакеты:
exiv2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2007-6353.
Более подробная информация:

Медер Кудуралиев обнаружил переполнение целых чисел в коде для обработки миниатюр в libexif, библиотеке для манипуляции метаданными EXIF/IPTC, что может приводить к выполнению произвольного кода.

Предыдущий стабильный выпуск (sarge) не содержит пакетов exiv2.

В стабильном выпуске (etch) эта проблема была исправлена в версии 0.10-1.5.

Рекомендуется обновить пакеты exiv2.

Исправлено в:

Debian GNU/Linux 4.0 (stable)

Исходный код:
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5.diff.gz
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5.dsc
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-doc_0.10-1.5_all.deb
Alpha:
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_alpha.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_alpha.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_amd64.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_amd64.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_arm.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_arm.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_hppa.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_hppa.deb
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_i386.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_i386.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_ia64.deb
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_ia64.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_mips.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_mips.deb
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_mipsel.deb
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_mipsel.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_powerpc.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_powerpc.deb
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_s390.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_s390.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-0.10_0.10-1.5_sparc.deb
http://security.debian.org/pool/updates/main/e/exiv2/libexiv2-dev_0.10-1.5_sparc.deb
http://security.debian.org/pool/updates/main/e/exiv2/exiv2_0.10-1.5_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.