Bulletin d'alerte Debian

DSA-1511-1 libicu -- Plusieurs vulnérabilités

Date du rapport :
3 mars 2008
Paquets concernés :
libicu
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 463688.
Plus de précisions :

Plusieurs vulnérabilités locales ont été découvertes dans libicu, les composants internationaux pour l'Unicode. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :

  • CVE-2007-4770

    Dans les versions 3.8.1 et antérieures des composants internationaux pour l'Unicode, libicu tente de traiter des références arrières vers le groupe de capture zéro (ou \0) qui n'existe pas. Cela peut permettre à un attaquant dépendant du contexte de lire, ou d'écrire, à des emplacements de mémoire hors limites. Cela est lié à la corruption de REStackFrames.

  • CVE-2007-4771

    Un débordement de mémoire tampon basée sur un bloc de mémoire du système dans la fonction doInterval de regexcmp.cpp dans les versions 3.8.1 et antérieures des composants internationaux pour l'Unicode libicu permet à un attaquant dépendant du contexte de générer un déni de service (par consommation de la mémoire) et a peut-être d'autres impacts inconnus par l'intermédiaire d'une expression rationnelle qui écrirait une grande quantité de données dans la pile de recherche arrière.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 3.6-2etch1.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 3.8-6.

Nous vous recommandons de mettre à jour votre paquet libicu.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/i/icu/icu_3.6.orig.tar.gz
http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.dsc
http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/i/icu/icu-doc_3.6-2etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.