Säkerhetsbulletin från Debian
DSA-695-1 xli -- buffertspill, städning av indata, heltalsspill
- Rapporterat den:
- 2005-03-21
- Berörda paket:
- xli
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 298039.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 3006.
I Mitres CVE-förteckning: CVE-2001-0775, CVE-2005-0638, CVE-2005-0639. - Ytterligare information:
-
Flera sårbarheter har upptäckts i xli, en bildvisare för X11. Projektet Vulnerabilities and Exposures project identifierar följande problem:
- CAN-2001-0775
Ett buffertspill i dekodern för bilder i FACES-formatet kunde utnyttjas av en angripare till att exekvera godtycklig kod. Problemet har redan rättats i xloadimage i DSA 069.
- CAN-2005-0638
Tavis Ormandy från Gentoo Linux säkerhetsgranskningsgrupp rapporterade om ett fel i hanteringen av komprimerade bilder, där metatecken från skalet inte ersätts korrekt.
- CAN-2005-0639
Otillräcklig validering av bildegenskaper har upptäckts, vilket potentiellt kunde leda till fel i bufferthanteringen.
För den stabila utgåvan (Woody) har dessa problem rättats i version 1.17.0-11woody1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 1.17.0-18.
Vi rekommenderar att ni uppgraderar ert xli-paket.
- CAN-2001-0775
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1.dsc
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1.diff.gz
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/x/xli/xli_1.17.0-11woody1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.