Debians sikkerhedsbulletin

DSA-1511-1 libicu -- forskelligt

Rapporteret den:
3. mar 2008
Berørte pakker:
libicu
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 463688.
Yderligere oplysninger:

Flere lokale sårbarheder er opdaget i libicu, International Components for Unicode. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

  • CVE-2007-4770

    libicu i International Components for Unicode (ICU) 3.8.1 og tidligere, forsøgte at behandle tilbagereferencer til den ikke-eksisterende capture-gruppe nul (dvs. \0), hvilket kunne gøre det muligt for indholdsafhængige angribere at læse fra, eller skrive til, hukommelsessteder uden for grænserne, med relation til korruption af REStackFrames.

  • CVE-2007-4771

    Heap-baseret bufferoverløb i funktionen doInterval i regexcmp.cpp i libicu i International Components for Unicode (ICU) 3.8.1 og tidligere, gjorde det muligt for indholdsafhængige angribere at forårsage et lammelsesangreb (denial of service, hukommelsesforbrug) og muligvis have anden uangiven indvirken gennem et regulært udtryk, der skriver en stor mængde data til backtracking-stakken.

I den stabile distribution (etch), er disse problemer rettet i version 3.6-2etch1.

I den ustabile distribution (sid), er disse problemer rettet i version 3.8-6.

Vi anbefaler at du opgraderer din libicu-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/i/icu/icu_3.6.orig.tar.gz
http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.dsc
http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/i/icu/icu-doc_3.6-2etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.