Debians sikkerhedsbulletin

DSA-1566-1 cpio -- programmeringsfejl

Rapporteret den:
2. maj 2008
Berørte pakker:
cpio
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2007-4476.
Yderligere oplysninger:

Dmitry Levin opdagede en sårbarhed i stihåndteringskoden, der anvendes af cpio-arkiveringsværktøjet. Svagheden kunne gøre det muligt at iværksætte lammelsesangreb (denial of service, crash) eller potentielt udførelse af vilkårlig kode, hvis en sårbar version af cpio blev anvendt til at udpakke eller vise indholdet af et ondsindet fremstillet arkiv.

I den stabile distribution (etch), er disse problemer rettet i version 2.6-18.1+etch1.

I den ustabile distribution (sid), er disse problemer rettet i version 2.9-5.

Vi anbefaler at du opgraderer dine cpio-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1.dsc
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.