Рекомендация Debian по безопасности

DSA-2995-1 lzo2 -- обновление безопасности

Дата сообщения:
03.08.2014
Затронутые пакеты:
lzo2
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 752861.
В каталоге Mitre CVE: CVE-2014-4607.
Более подробная информация:

Дон Бэйли из Lab Mouse Security обнаружил переполнение целых чисел в способе, который используется библиотекой lzo для распаковки определённых архивов, сжатых с помощью алгоритма LZO. Злоумышленник может создать специально сформированный архив в формате LZO, который (при его распаковке приложением, использующим библиотеку lzo), приводил бы к аварийному завершению приложения или потенциальному выполнению произвольного кода.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.06-1+deb7u1.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 2.08-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.08-1.

Рекомендуется обновить пакеты lzo2.