Debian-Sicherheitsankündigung

DSA-1637-1 git-core -- Pufferüberlauf

Datum des Berichts:
15. Sep 2008
Betroffene Pakete:
git-core
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 494097.
In Mitres CVE-Verzeichnis: CVE-2008-3546.
Weitere Informationen:

Mehrere Verwundbarkeiten wurden in git-core, dem Kern des Versionskontrollsystems git, identifiziert. Ungeeignete Pfadlängen in den Funktionen diff und grep, in Kombination mit in bösartiger Absicht erstellten Änderungen oder Depots, können einen Pufferüberlauf im Stapelverarbeitungsspeicher und die Ausführung beliebigen Codes ermöglichen.

Das Common Vulnerabilities and Exposures-Projekt identifiziert diese Verwundbarkeit als CVE-2008-3546.

Für die Stable-Distribution (Etch) wurde dieses Problem in Version 1.4.4.4-2.1+etch1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 1.5.6.5-1 behoben.

Wir empfehlen Ihnen, Ihre git-core-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1.dsc
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4.orig.tar.gz
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1.diff.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/g/git-core/git-arch_1.4.4.4-2.1+etch1_all.deb
http://security.debian.org/pool/updates/main/g/git-core/git-cvs_1.4.4.4-2.1+etch1_all.deb
http://security.debian.org/pool/updates/main/g/git-core/git-email_1.4.4.4-2.1+etch1_all.deb
http://security.debian.org/pool/updates/main/g/git-core/gitweb_1.4.4.4-2.1+etch1_all.deb
http://security.debian.org/pool/updates/main/g/git-core/git-daemon-run_1.4.4.4-2.1+etch1_all.deb
http://security.debian.org/pool/updates/main/g/git-core/git-doc_1.4.4.4-2.1+etch1_all.deb
http://security.debian.org/pool/updates/main/g/git-core/git-svn_1.4.4.4-2.1+etch1_all.deb
http://security.debian.org/pool/updates/main/g/git-core/gitk_1.4.4.4-2.1+etch1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/git-core/git-core_1.4.4.4-2.1+etch1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.