Debians sikkerhedsbulletin

DSA-3323-1 icu -- sikkerhedsopdatering

Rapporteret den:

1. aug 2015

Berørte pakker:

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 778511, Fejl 784773.
I Mitres CVE-ordbog: CVE-2014-6585, CVE-2014-8146, CVE-2014-8147, CVE-2015-4760.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i biblioteket International Components for Unicode (ICU).

CVE-2014-8146
Implementeringen af Unicode Bidirectional Algorithm sporede ikke på korrekt vis isolerede, retningsbestemte tekststykker, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (heapbaseret bufferoverløb) eller muligvis udførelse af vilkårlig kode ved hjælp af fabrikeret tekst.
CVE-2014-8147
Implementeringen af Unicode Bidirectional Algorithm anvendte en heltalsdatatype, som ikke er i overensstemmelse med en headerfil, hvilket gjorde det muligt for fjernangribere at forårsage et lammelsesangreb (ukorrekt malloc efterfulgt af ugyldig frigivelse) eller muligvis udførelse af vilkårlig kode ved hjælp af fabrikeret tekst.
CVE-2015-4760
Layout Engine manglede adskillige grænsekontroller. Det kunne føre til bufferoverløb og hukommelseskorruption. En særligt fremstillet fil kunne udvirke, at en applikation, som anvender ICU til at fortolke fontfiler, der ikke er tillid til, kunne gå ned eller muligvis udføre vilkårlig kode.

Desuden opdagede man, at patch'en anvendt på ICU i DSA-3187-1 til CVE-2014-6585, var ufuldstændig, muligvis førende til en ugyldig hukommelsestilgang. Dermed kunne fjernangribere afsløre dele af privat hukommelse ved hjælp af fabrikerede fontfiler.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 4.8.1.1-12+deb7u3.

I den stabile distribution (jessie), er disse problemer rettet i version 52.1-8+deb8u2.

I distributionen testing (stretch), er disse problemer rettet i version 52.1-10.

I den ustabile distribution (sid), er disse problemer rettet i version 52.1-10.

Vi anbefaler at du opgraderer dine icu-pakker.