Debians sikkerhedsbulletin
DSA-608-1 zgv -- heltalsoverløb, ukontrollerede inddata
- Rapporteret den:
- 14. dec 2004
- Berørte pakker:
- zgv
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 11556.
I Mitres CVE-ordbog: CVE-2004-1095, CVE-2004-0999. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i zgv, et SVGAlib-billedvisningsprogram til i386-arkitekturen. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CAN-2004-1095
"infamous41md" har opdaget flere heltalsoverløbs i zgv. Fjernudnyttelse af et heltalsoverløbssårbarhed kunne gøre det muligt at udføre vilkårlig kode.
- CAN-2004-0999
Mikulas Patocka har opdaget at ondsindede GIF-billedfiler som består af flere billeder (eksempelvis animationer) kunne forårsage en segmenteringsfejl i zgv.
I den stabile distribution (woody) er disse problemer rettet i version 5.5-3woody1.
I den ustabile distribution (sid) vil disse problemer snart blive rettet.
Vi anbefaler at du omgående opgraderer din zgv-pakke.
- CAN-2004-1095
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.dsc
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz
- Intel IA-32:
- http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2_i386.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.