Säkerhetsbulletin från Debian
DSA-1455-1 libarchive -- överbelastningsattack
- Rapporterat den:
- 2008-01-08
- Berörda paket:
- libarchive1
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 432924.
I Mitres CVE-förteckning: CVE-2007-3641, CVE-2007-3644, CVE-2007-3645. - Ytterligare information:
-
Flera lokala och utifrån nåbara sårbarheter har upptäckts i libarchive1, ett enkelt bibliotek för att skriva/läsa arkiv i formaten tar, cpio, pax, zip och iso9660. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2007-3641
Man har upptäckt att libarchive1 felberäknade längden på en buffert, vilket ledde till ett buffertspill om ytterligare en sort korrumpering förekom i pax-utökningshuvudet.
- CVE-2007-3644
Man har upptäckt att om ett arkiv avslutades för tidigt i pax-utökningshuvudet kunde libarchive1 gå in i en oändlig slinga.
- CVE-2007-3645
Om ett arkiv avslutades för tidigt i ett tar-huvud, direkt efter ett pax-utökningshuvud, kunde libarchive1 avreferera en NULL-pekare.
Den gamla stabila utgåvan (Sarge) innehåller inte detta paket.
För den stabila utgåvan (Etch) har dessa problem rättats i version 1.2.53-2etch1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.2.4-1.
Vi rekommenderar att ni uppgraderar ert libarchive-paket.
- CVE-2007-3641
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive_1.2.53-2etch1.diff.gz
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive_1.2.53.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive_1.2.53-2etch1.dsc
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive_1.2.53.orig.tar.gz
- Alpha:
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_alpha.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_alpha.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_alpha.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_amd64.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_amd64.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_amd64.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_arm.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_arm.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_arm.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_hppa.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_hppa.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_hppa.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_i386.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_i386.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_i386.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_ia64.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_ia64.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_ia64.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_mips.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_mips.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_mips.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_mipsel.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_powerpc.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_s390.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_s390.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_s390.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libarchive/bsdtar_1.2.53-2etch1_sparc.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_sparc.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive-dev_1.2.53-2etch1_sparc.deb
- http://security.debian.org/pool/updates/main/liba/libarchive/libarchive1_1.2.53-2etch1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.