Информация по безопасности / 2015 / Информация о безопасности -- DSA-3323-1 icu

Рекомендация Debian по безопасности

DSA-3323-1 icu -- обновление безопасности

Дата сообщения:

01.08.2015

Затронутые пакеты:

icu

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 778511, Ошибка 784773.
В каталоге Mitre CVE: CVE-2014-6585, CVE-2014-8146, CVE-2014-8147, CVE-2015-4760.

Более подробная информация:

В библиотеке международных компонентов для Юникода (ICU) было обнаружено несколько уязвимостей.

• CVE-2014-8146

  Двунаправленный алгоритм Юникода неправильно отслеживает изолированные в плане направления части текста, что позволяет удалённым злоумышленникам вызвать отказ в обслуживании (переполнение динамической памяти) или выполнить произвольный код с помощью специально сформированного текста.

• CVE-2014-8147

  Реализация двунаправленного алгоритма Юникода используется целочисленный тип данных, что несовместимо с заголовочным файлом, это позволяет удалённым злоумышленникам вызывать отказ в обслуживании (некорректное выделение памяти, следующее за неправильным освобождением памяти) или выполнить произвольный код с помощью специально сформированного текста.

• CVE-2015-4760

  В движке разметки отсутствуют многочисленные проверки границ массивов. Это может приводить к переполнению буфера и порче содержимого памяти. С помощью специально сформированного файла, переданного приложению, использующему ICU для выполнения грамматического разбора недоверенных файлов шрифтов, можно аварийно завершить работу этого приложения и выполнить произвольный код.

Кроме того, было обнаружено, что заплата, применённая к ICU в DSA-3187-1 для исправления CVE-2014-6585, была недостаточной, что может приводить к неправильному доступу к содержимому памяти. Это может позволить удалённым злоумышленникам раскрыть часть закрытой памяти при помощи специально сформированных файлов шрифтов.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 4.8.1.1-12+deb7u3.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 52.1-8+deb8u2.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 52.1-10.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 52.1-10.

Рекомендуется обновить пакеты icu.