Säkerhetsbulletin från Debian

DSA-1511-1 libicu -- diverse

Rapporterat den:
2008-03-03
Berörda paket:
libicu
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 463688.
Ytterligare information:

Flera lokala sårbarheter har upptäckts i libicu, Internationella komponenter för Unicode. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2007-4770

    libicu i Internationella komponenter för Unicode (ICU) 3.8.1 och tidigare försöker tolka bakåtreferenser i den icke-existerande fångstgruppen noll (dvs. \0), vilket kunde göra sammanhangsberoende angrepp för att läsa från, eller skriva till, minnesutrymme utanför begränsningarna möjliga, relaterat till sönderskrivning av REStackFrames.

  • CVE-2007-4771

    Heapbaserat buffertspill i funktionen doInterval i regexcmp.cpp i libicu i Internationella komponenter för Unicode (ICU) 3.8.1 och tidigare gjorde det möjligt för sammanhangsberoende angrepp att utföra en överbelastningsattack (minneskonsumtion) och möjligen ha en icke specificerad annan påverkan genom ett reguljärt uttryck som skriver en stor mängd data på bakåtspårningsstacken.

För den stabila utgåvan (Etch) har dessa problem rättats i version 3.6-2etch1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.8-6.

Vi rekommenderar att ni uppgraderar ert libicu-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/i/icu/icu_3.6.orig.tar.gz
http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.dsc
http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/i/icu/icu-doc_3.6-2etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_alpha.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_amd64.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_arm.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_hppa.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_i386.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_ia64.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_mips.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_powerpc.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_s390.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_sparc.deb
http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.