Säkerhetsbulletin från Debian

DSA-2995-1 lzo2 -- säkerhetsuppdatering

Rapporterat den:
2014-08-03
Berörda paket:
lzo2
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 752861.
I Mitres CVE-förteckning: CVE-2014-4607.
Ytterligare information:

Don A. Bailey från Lab Mouse Security upptäckte ett heltalsspill i sättet som lzo-biblioteket dekomprimerar vissa arkiv som komprimerats med LZO-algoritmen. En angripare kunde skapa en speciellt konstruerad LZO-komprimerad indata som, vid dekomprimering av en applikation som använder lzo-biblioteket, orsakar applikationen att krascha eller, potentiellt, köra godtycklig kod.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.06-1+deb7u1.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 2.08-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.08-1.

Vi rekommenderar att ni uppgraderar era lzo2-paket.