Aviso de seguridad de Debian
DSA-146-2 dietlibc -- desbordamiento de entero
- Fecha del informe:
- 8 de ago de 2002
- Paquetes afectados:
- dietlibc
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 5356.
En el diccionario CVE de Mitre: CVE-2002-0391.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#192995. - Información adicional:
-
Se ha descubierto un error de desbordamiento de entero en la biblioteca RPC usada por dietlibc, una versión de libc optimizada en tamaño, que se deriva de la biblioteca SunRPC. Este error se podía explotar para ganar acceso no autorizado a root al software que se enlazaba con este código. Los paquetes de abajo también corrigen un desbordamiento de entero en el código de calloc, fread y fwrite. También son más estrictos en lo que respecta a paquetes DNS hostiles que pueden conducir de alguna manera a una vulnerabilidad.
Estos problemas han sido corregidos en la versión 0.12-2.4 de la distribución estable actual (woody) y en la versión 0.20-0cvs20020808 para la distribución inestable (sid). Debian 2.2 (potato) no se ve afectada porque no contiene los paquetes dietlibc.
Le recomendamos que actualice los paquetes dietlibc inmediatamente.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.dsc
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.diff.gz
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-doc_0.12-2.4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_i386.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.