Bulletin d'alerte Debian
DSA-1511-1 libicu -- Plusieurs vulnérabilités
- Date du rapport :
- 3 mars 2008
- Paquets concernés :
- libicu
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 463688.
- Plus de précisions :
-
Plusieurs vulnérabilités locales ont été découvertes dans libicu, les composants internationaux pour l'Unicode. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
- CVE-2007-4770
Dans les versions 3.8.1 et antérieures des composants internationaux pour l'Unicode, libicu tente de traiter des références arrières vers le groupe de capture zéro (ou \0) qui n'existe pas. Cela peut permettre à un attaquant dépendant du contexte de lire, ou d'écrire, à des emplacements de mémoire hors limites. Cela est lié à la corruption de REStackFrames.
- CVE-2007-4771
Un débordement de mémoire tampon basée sur un bloc de mémoire du système dans la fonction doInterval de regexcmp.cpp dans les versions 3.8.1 et antérieures des composants internationaux pour l'Unicode libicu permet à un attaquant dépendant du contexte de générer un déni de service (par consommation de la mémoire) et a peut-être d'autres impacts inconnus par l'intermédiaire d'une expression rationnelle qui écrirait une grande quantité de données dans la pile de recherche arrière.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.6-2etch1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.8-6.
Nous vous recommandons de mettre à jour votre paquet libicu.
- CVE-2007-4770
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/i/icu/icu_3.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.dsc
- http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.diff.gz
- http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.dsc
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/i/icu/icu-doc_3.6-2etch1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_alpha.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_amd64.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_arm.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_arm.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_hppa.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_i386.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_ia64.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_mips.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_mips.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_s390.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_sparc.deb
- http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.