Рекомендация Debian по безопасности
DSA-228-1 libmcrypt -- переполнения буфера и нехватка памяти
- Дата сообщения:
- 14.01.2003
- Затронутые пакеты:
- libmcrypt
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 6510, Идентификатор BugTraq 6512.
В каталоге Mitre CVE: CVE-2003-0031, CVE-2003-0032. - Более подробная информация:
-
Илья Алшанецкий (Ilia Alshanetsky) обнаружил несколько возможностей переполнения буфера в libmcrypt, библиотеке шифрования и расшифрования, причиной которых является неправильная или недостаточная проверка ввода. Передавая некоторым (довольно многочисленным) функциям более длинный входной текст, чем ожидается, пользователь может вызвать нарушение работы libmcrypt и, возможно, вставить произвольный злонамеренный код, который будет выполняться с привилегиями пользователя, запустившего libmcrypt, например, внутри web-сервера.
Ещё одно уязвимое место обнаружено в способе загрузки libmcrypt алгоритмов с помощью libtool. При динамической загрузки различных алгоритмов, при каждой загрузке алгоритма расходуется часть памяти. В постоянно работающей среде (web-сервере) это может привести к атаке на исчерпание памяти — многократные запросы к приложению, использующему библиотеку mcrypt, израсходуют всю доступную память.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены в версии 2.5.0-1woody1.
Старый стабильный дистрибутив (potato) не содержит пакетов libmcrypt.
В нестабильном дистрибутиве (sid) эти проблемы исправлены в версии 2.5.5-1.
Мы рекомендуем вам обновить пакеты libmcrypt.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0-1woody1.dsc
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0-1woody1.diff.gz
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt_2.5.0-1woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_alpha.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_alpha.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_arm.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_arm.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_i386.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_i386.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_ia64.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_ia64.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_hppa.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_hppa.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_m68k.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_m68k.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_mips.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mips.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_s390.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_s390.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt-dev_2.5.0-1woody1_sparc.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_sparc.deb
- http://security.debian.org/pool/updates/main/libm/libmcrypt/libmcrypt4_2.5.0-1woody1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.