Porada dotycząca bezpieczeństwa Debiana

DSA-916-1 inkscape -- przepełnienie buforu

Data Zgłoszenia:
07.12.2005
Narażone Pakiety:
inkscape
Podatny:
Tak
Odnośniki do baz danych na temat bezpieczeństwa:
W systemie śledzenia błędów Debiana: Błąd 321501, Błąd 330894.
Baza danych Bugtraq (SecurityFocus): Nr BugTraq 14522.
W słowniku CVE Mitre-a CVE-2005-3737, CVE-2005-3885.
Więcej informacji:

Kilka zagrożeń zostało odkrytych w Inkscape, programie obsługującym grafikę wektorową. Projekt Wspólnych Zagrożeń i Narażeń identyfikuje poniższe problemy:

  • CVE-2005-3737

    Joxean Koret odkrył przepełnienie buforu w procesie parsowania SVG, który może prowadzić do wykonania dowolnego kodu.

  • CVE-2005-3885

    Javier Fernández-Sanguino Peńa zauważył, że rozszerzenie skryptu powłoki ps2epsi używa wpisanego na stałe pliku tymczasowego, czyniąc je wrażliwe na atak poprzez dowiązanie symboliczne.

Stara stabilna dystrybucja (woody) nie zawiera pakietu inkscape.

Dla stabilnej dystrybucji (sarge) błędy te zostały poprawione w wersji 0.41-4.99.sarge2.

Dla niestabilnej dystrybucji (sid) błędy te zostały poprawione w wersji 0.42.2+0.43pre1-1.

Rekomendujemy, byś uaktualnił swój pakiet inkscape.

Naprawiony w:

Debian GNU/Linux 3.1 (sarge)

Źródło:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2.dsc
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2.diff.gz
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.