Рекомендация Debian по безопасности

DSA-1026-1 sash -- переполнение буфера

Дата сообщения:
06.04.2006
Затронутые пакеты:
sash
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 318069.
В каталоге Mitre CVE: CVE-2005-1849, CVE-2005-2096.
Более подробная информация:

Маркус Оберхумер обнаружил уязвимость в способе, используемом zlib, библиотекой для сжатия и распаковки файлов, для обработки некорректных входных данных. Эта уязвимость может приводить к аварийному завершению программ, использующих zlib, при открытии некорректного файла. Ещё одна ошибка в способе, используемом zlib для обработки увеличения некоторых сжатых файлов, может приводить к аварийному завершению программ, использующих zlib, при открытии некорректного файла.

sash, отдельная утилита для командной оболочки, статически связывается с zlib и поэтому подвержена указанным проблемам.

Предыдущий стабильный выпуск (woody) не подвержен этим проблемам.

В стабильном выпуске (sarge) эти проблемы были исправлены в версии 3.7-5sarge1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.7-6.

Рекомендуется обновить пакет sash.

Исправлено в:

Debian GNU/Linux 3.1 (sarge)

Исходный код:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1.dsc
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1.diff.gz
http://security.debian.org/pool/updates/main/s/sash/sash_3.7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sash/sash_3.7-5sarge1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.