Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3309-1 tidy

Säkerhetsbulletin från Debian

DSA-3309-1 tidy -- säkerhetsuppdatering

Rapporterat den:

2015-07-18

Berörda paket:

tidy

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 792571.
I Mitres CVE-förteckning: CVE-2015-5522, CVE-2015-5523.

Ytterligare information:

Fernando Muñoz upptäckte att ogiltig HTML-indata som skickats till tidy, en HTML-syntaxkontrollerare och omformatterare, kunde trigga ett buffertspill. Detta kunde tillåta fjärrangripare att orsaka en överbelastning (krasch) eller potentiellt körning av godtycklig kod.

Geoff McLane upptäckte även att ett liknande problem kunde trigga ett heltalsspill, som leder till minnesallokering på 4GB. Detta kunde tillåta fjärrangripare att orsaka en överbelastning genom att förbruka målets minne.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 20091223cvs-1.2+deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 20091223cvs-1.4+deb8u1.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era tidy-paket.