Porada dotycząca bezpieczeństwa Debiana
DSA-916-1 inkscape -- przepełnienie buforu
- Data Zgłoszenia:
- 07.12.2005
- Narażone Pakiety:
- inkscape
- Podatny:
- Tak
- Odnośniki do baz danych na temat bezpieczeństwa:
- W systemie śledzenia błędów Debiana: Błąd 321501, Błąd 330894.
Baza danych Bugtraq (SecurityFocus): Nr BugTraq 14522.
W słowniku CVE Mitre-a CVE-2005-3737, CVE-2005-3885. - Więcej informacji:
-
Kilka zagrożeń zostało odkrytych w Inkscape, programie obsługującym grafikę wektorową. Projekt Wspólnych Zagrożeń i Narażeń identyfikuje poniższe problemy:
- CVE-2005-3737
Joxean Koret odkrył przepełnienie buforu w procesie parsowania SVG, który może prowadzić do wykonania dowolnego kodu.
- CVE-2005-3885
Javier Fernández-Sanguino Peńa zauważył, że rozszerzenie skryptu powłoki ps2epsi używa wpisanego na stałe pliku tymczasowego, czyniąc je wrażliwe na atak poprzez dowiązanie symboliczne.
Stara stabilna dystrybucja (woody) nie zawiera pakietu inkscape.
Dla stabilnej dystrybucji (sarge) błędy te zostały poprawione w wersji 0.41-4.99.sarge2.
Dla niestabilnej dystrybucji (sid) błędy te zostały poprawione w wersji 0.42.2+0.43pre1-1.
Rekomendujemy, byś uaktualnił swój pakiet inkscape.
- CVE-2005-3737
- Naprawiony w:
-
Debian GNU/Linux 3.1 (sarge)
- Źródło:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2.dsc
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2.diff.gz
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41.orig.tar.gz
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/i/inkscape/inkscape_0.41-4.99.sarge2_sparc.deb
Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.