Säkerhetsbulletin från Debian

DSA-1219-1 texinfo -- buffertspill

Rapporterat den:

2006-11-27

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 14854, BugTraq-id 20959.
I Mitres CVE-förteckning: CVE-2005-3011, CVE-2006-4810.

Ytterligare information:

Flera sårbarheter upptäcktes i GNU texinfo-paketet, ett dokumentationssystem för direktinformation och tryckt utdata.

CVE-2005-3011
Hanteringen av temporära filer utfördes på ett osäkert sitt, vilket gjorde det möjligt för en angripare att skriva över alla filer som var skrivbara av offret.
CVE-2006-4810
Ett buffertspill i util/texindex.c kunde göra det möjligt för en angripare att exekvera godtycklig kod med offrets åtkomsträttigheter genom att lura offret att köra texindex eller tex2dvi på en specialskriven texinfo-fil.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 4.7-2.2sarge2. Observera att binärpaket för mipsel-arkitekturen ännu inte är tillgängliga på grund av tekniska problem på byggmaskinen. Dessa paket kommer göras tillgängliga så fort som möjligt.

För den instabila (Sid) och kommande stabila utgåvan (Etch) har dessa problem rättats i version 4.8.dfsg.1-4.< /p>

Vi rekommenderar att ni uppgraderar ert texinfo-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2.dsc; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7.orig.tar.gz; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2.diff.gz
Alpha:: http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_alpha.deb; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_amd64.deb; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_arm.deb; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_arm.deb
HPPA:: http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_hppa.deb; http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_i386.deb; http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_ia64.deb; http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_ia64.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_m68k.deb; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_mips.deb; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_mips.deb
PowerPC:: http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_powerpc.deb; http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_s390.deb; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/t/texinfo/info_4.7-2.2sarge2_sparc.deb; http://security.debian.org/pool/updates/main/t/texinfo/texinfo_4.7-2.2sarge2_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.