Bulletin d'alerte Debian

DSA-1974-1 gzip -- Plusieurs vulnérabilités

Date du rapport :
20 janvier 2010
Paquets concernés :
gzip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 507263.
Dans le dictionnaire CVE du Mitre : CVE-2009-2624, CVE-2010-0001.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans gzip, les utilitaires de compression GNU. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-2624

    Thiemo Nagel a découvert un défaut de validation d'entrée dans la façon dont gzip décompressait les blocs de données pour les codes Huffman dynamiques. Cela pourrait permettre l'exécution de code arbitraire lors d'un essai de décompression d'une archive contrefaite. Ce problème est une réapparition de CVE-2006-4334 et ne concerne que la version de Lenny.

  • CVE-2010-0001

    Aki Helin a découvert un débordement d'entier par le bas lors de la décompression de fichiers compressés en utilisant l'algorithme LZW. Cela pourrait conduire à l'exécution de code arbitraire lors d'un essai de décompression d'une archive gzip compressée LZW contrefaite.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.3.12-6+lenny1.

Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 1.3.5-15+etch1.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets gzip.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1.dsc
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1.diff.gz
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_ia64.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-15+etch1_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1.diff.gz
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12.orig.tar.gz
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/g/gzip/gzip-win32_1.3.12-6+lenny1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_ia64.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.12-6+lenny1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.