Debian-Sicherheitsankündigung
DSA-228-1 libmcrypt -- Pufferüberläufe und Speicher-Leck
- Datum des Berichts:
- 14. Jan 2003
- Betroffene Pakete:
- libmcrypt
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 6510, BugTraq ID 6512.
In Mitres CVE-Verzeichnis: CVE-2003-0031, CVE-2003-0032. - Weitere Informationen:
-
Ilia Alshanetsky entdeckte mehrere Pufferüberläufe in libmcrypt, einer Dekodier- und Verschlüsselungs-Bibliothek, die aus ungeeigneter oder fehlender Eingabe-Prüfung entstand. Indem Eingaben an einige Funktionen (mehrere Funktionen sind davon betroffen) übergeben werden, die länger als erwartet sind, kann der Benutzer libmcrypt erfolgreich abstürzen lassen und könnte willkürlichen, böswilligen Code einbringen, der mit dem Benutzer ausgeführt wird, unter dem libmcrypt läuft, z.B. innerhalb eines Web-Servers.
Eine weitere Verwundbarkeit existiert in der Art, wie libmcrypt Algorithmen über libtool lädt. Wenn verschiedene Algorithmen dynamisch geladen werden, gibt es jedes Mal, wenn ein Algorithmus geladen wird, ein kleines Speicherloch. In einer dauerhaften Umgebung (Web-Server) könnte dies zu einem Speicher-Erschöpfungs-Angriff führen, der all den verfügbaren Speicher aufbraucht, indem wiederholte Anfragen an eine Anwendung gestellt werden, die die mcrypt-Bibliothek verwendet.
Für die aktuelle stable Distribution (Woody) wurden diese Probleme in Version 2.5.0-1woody1 behoben.
Die alte stable Distribution (Potato) enthält keine libmcrypt-Pakete.
Für die unstable Distribution (Sid) wurden diese Probleme in Version 2.5.5-1 behoben.
Wir empfehlen Ihnen, Ihre libmcrypt-Pakete zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0-1woody1.dsc
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0-1woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_alpha.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_alpha.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_arm.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_arm.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_i386.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_i386.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_ia64.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_ia64.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_hppa.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_hppa.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_m68k.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_m68k.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_mips.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mips.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_s390.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_s390.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_sparc.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_sparc.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.