Debians sikkerhedsbulletin

DSA-2995-1 lzo2 -- sikkerhedsopdatering

Rapporteret den:
3. aug 2014
Berørte pakker:
lzo2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 752861.
I Mitres CVE-ordbog: CVE-2014-4607.
Yderligere oplysninger:

Don A. Bailey fra Lab Mouse Security opdagede en heltalsoverløbsfejl i den måde, lzo-biblioteket dekomprimerede visse arkiver, komprimeret med LZO-algoritmen. En angriber kunne oprette særligt fremstillede LZO-komprimerede inddata, der ved dekomprimering af en applikation, som anvender lzo-biblioteket, medførte af applikationen gik ned eller potentielt udførte vilkårlig kode.

I den stabile distribution (wheezy), er dette problem rettet i version 2.06-1+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 2.08-1.

I den ustabile distribution (sid), er dette problem rettet i version 2.08-1.

Vi anbefaler at du opgraderer dine lzo2-pakker.