Bezpečnostní zprávy Debianu
DSA-608-1 zgv -- celočíselná přetečení, neošetřený vstup
- Datum oznámění:
- 14.12.2004
- Zasažené balíčky:
- zgv
- Zranitelný:
- Ano
- Odkazy na bezpečnostní databázi:
- In the Bugtraq database (at SecurityFocus): BugTraq ID 11556.
In Mitre's CVE dictionary: CVE-2004-1095, CVE-2004-0999. - Více informací:
-
Bylo objeveno několik zranitelností v zgv, což je SVGAlib grafický prohlížeč pro i386 architekturu. The Common Vulnerabilities and Exposures Project zjistil následující problémy:
- CAN-2004-1095
"infamous41md" objevil mnohonásobná celočíselná přetečení v zgv. Vzdálené zneužití některé zranitelnosti celočíselného přetečení může dovolit spuštění libovolného kódu.
- CAN-2004-0999
Mikulas Patocka zjistil, že zlomyslné více-obrázkové (např. animovaný) GIF obrázky mohou způsobit zápis mimo meze (segmentation fault) v zgv.
Pro stable distribuci (woody) byly tyto problémy opraveny ve verzi 5.5-3woody1.
Pro unstable distribuci (sid) budou tyto problémy brzy odstraněny.
Doporučujeme ihned aktualizovat váš balíček zgv.
- CAN-2004-1095
- Opraveno v:
-
Debian GNU/Linux 3.0 (woody)
- Zdroj:
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.dsc
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2_i386.deb
MD5 kontrolní součty (checksums) uvedených souborů jsou dostupné v původní zprávě.