Debian-Sicherheitsankündigung

DSA-1511-1 libicu -- Mehrere Verwundbarkeiten

Datum des Berichts:
03. Mär 2008
Betroffene Pakete:
libicu
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 463688.
Weitere Informationen:

Mehrere lokal ausnutzbare Verwundbarkeiten wurden in libicu, einer Bibliothek die internationale Komponenten für Unicode implementiert, entdeckt. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

  • CVE-2007-4770

    libicu in International Components for Unicode (ICU) 3.8.1 und früher versucht rückwärtige Referenzen zur nicht existierenden capture group zero (auch bekannt als \0) zu verarbeiten, was abhängig vom Inhalt, Angreifern das Lesen oder Schreiben von Speicher außerhalb von Grenzen ermöglichen kann, was zur Korruption von REStackFrames Relevanz hat.

  • CVE-2007-4771

    Ein Heap-basierter Pufferüberlauf in der Funktion doInterval in regexcmp.cpp in libicu in International Components for Unicode (ICU) 3.8.1 und früher ermöglicht Angreifern abhängig vom Inhalt die Auslösung einer Diensteverweigerung (denial of service) (Speichererschöpfung) und könnte möglicherweise andere Auswirkungen mittels eines regulären Ausdrucks haben, der eine große Menge Daten in den Rückverfolgungs-Stack (backtracking) schreibt.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 3.6-2etch1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 3.8-6 behoben.

Wir empfehlen Ihnen, Ihr libicu-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/i/icu/icu_3.6.orig.tar.gz
http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.dsc
http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.diff.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/i/icu/icu-doc_3.6-2etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.