Bulletin d'alerte Debian
DSA-1974-1 gzip -- Plusieurs vulnérabilités
- Date du rapport :
- 20 janvier 2010
- Paquets concernés :
- gzip
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 507263.
Dans le dictionnaire CVE du Mitre : CVE-2009-2624, CVE-2010-0001. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans gzip, les utilitaires de compression GNU. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-2624
Thiemo Nagel a découvert un défaut de validation d'entrée dans la façon dont gzip décompressait les blocs de données pour les codes Huffman dynamiques. Cela pourrait permettre l'exécution de code arbitraire lors d'un essai de décompression d'une archive contrefaite. Ce problème est une réapparition de CVE-2006-4334 et ne concerne que la version de Lenny.
- CVE-2010-0001
Aki Helin a découvert un débordement d'entier par le bas lors de la décompression de fichiers compressés en utilisant l'algorithme LZW. Cela pourrait conduire à l'exécution de code arbitraire lors d'un essai de décompression d'une archive gzip compressée LZW contrefaite.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.3.12-6+lenny1.
Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.3.5-15+etch1.
Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour vos paquets gzip.
- CVE-2009-2624
- Corrigé dans :
-
Debian GNU/Linux 4.0 (etch)
- Source :
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1.dsc
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1.diff.gz
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_sparc.deb
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1.dsc
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/g/gzip/gzip-win32_1.3.12-6+lenny1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_ia64.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.