Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3309-1 tidy

Debians sikkerhedsbulletin

DSA-3309-1 tidy -- sikkerhedsopdatering

Rapporteret den:

18. jul 2015

Berørte pakker:

tidy

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 792571.
I Mitres CVE-ordbog: CVE-2015-5522, CVE-2015-5523.

Yderligere oplysninger:

Fernando Muñoz opdagede at ugyldigt HTML-inddata overført til tidy, et program til kontrol af HTML-syntaks og omformattering, kunne udløse et bufferoverløb. Dermed kunne fjernangribere forårsage et lammelsesangreb (nedbrud) eller potentielt udføre vilkårlig kode.

Geoff McLane opdagede også at et lignende problem kunne udløse et heltalsoverløb, førende til hukommelsesallokering på 4 gigabyte. Dermed kunne fjernangribere forårsage et lammelsesangreb (denial of service) ved at opbrug målets hukommelse.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 20091223cvs-1.2+deb7u1.

I den stabile distribution (jessie), er disse problemer rettet i version 20091223cvs-1.4+deb8u1.

I den ustabile distribution (sid), vil disse problemer snart blive rettet.

Vi anbefaler at du opgraderer dine tidy-pakker.