Debian-Sicherheitsankündigung

DSA-1566-1 cpio -- Programmierfehler

Datum des Berichts:
02. Mai 2008
Betroffene Pakete:
cpio
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2007-4476.
Weitere Informationen:

Dmitry Levin entdeckte eine Verwundbarkeit im Code zum Umgang mit Pfaden, wie er vom Archivierungswerkzeug cpio verwendet wird. Die Schwäche könnte zu einer Diensteverweigerung (denial of service, Absturz) oder eventuell der Ausführung beliebigen Codes führen, falls eine verwundbare Version von cpio verwendet wird, um ein speziell bösartig erstelltes Archiv zu extrahieren oder den Inhalt aufzulisten.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 2.6-18.1+etch1 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 2.9-5 behoben.

Wir empfehlen Ihnen, Ihre cpio-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1.dsc
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cpio/cpio_2.6-18.1+etch1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.