Säkerhetsbulletin från Debian

DSA-1511-1 libicu -- diverse

Rapporterat den:

2008-03-03

Berörda paket:

libicu

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 463688.

Ytterligare information:

Flera lokala sårbarheter har upptäckts i libicu, Internationella komponenter för Unicode. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2007-4770
libicu i Internationella komponenter för Unicode (ICU) 3.8.1 och tidigare försöker tolka bakåtreferenser i den icke-existerande fångstgruppen noll (dvs. \0), vilket kunde göra sammanhangsberoende angrepp för att läsa från, eller skriva till, minnesutrymme utanför begränsningarna möjliga, relaterat till sönderskrivning av REStackFrames.
CVE-2007-4771
Heapbaserat buffertspill i funktionen doInterval i regexcmp.cpp i libicu i Internationella komponenter för Unicode (ICU) 3.8.1 och tidigare gjorde det möjligt för sammanhangsberoende angrepp att utföra en överbelastningsattack (minneskonsumtion) och möjligen ha en icke specificerad annan påverkan genom ett reguljärt uttryck som skriver en stor mängd data på bakåtspårningsstacken.

För den stabila utgåvan (Etch) har dessa problem rättats i version 3.6-2etch1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.8-6.

Vi rekommenderar att ni uppgraderar ert libicu-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:: http://security.debian.org/pool/updates/main/i/icu/icu_3.6.orig.tar.gz; http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.dsc; http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.diff.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/i/icu/icu-doc_3.6-2etch1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_arm.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_i386.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_mips.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_mips.deb
PowerPC:: http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_s390.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.