Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3323-1 icu

Säkerhetsbulletin från Debian

DSA-3323-1 icu -- säkerhetsuppdatering

Rapporterat den:

2015-08-01

Berörda paket:

icu

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 778511, Fel 784773.
I Mitres CVE-förteckning: CVE-2014-6585, CVE-2014-8146, CVE-2014-8147, CVE-2015-4760.

Ytterligare information:

Flera sårbarheter har upptäckts i biblioteket International Components for Unicode (ICU).

• CVE-2014-8146

  Implementationen av Unicode Bidirectional Algorithm spårar inte riktningsisolerade textstycken ordentligt, vilket tillåter fjärrangripare att orsaka en överbelastning (heap-baserat buffertspill) eller möjligen att köra godtycklig kod via skapad text.

• CVE-2014-8147

  Implementationen av Unicode Bidirectional Algorithm använder en heltalsdatatyp som är inkonsistent med en headerfil, vilket tillåter fjärrangripare att orsaka en överbelastning (felaktig malloc följt av en felaktig free) eller möjligen körning av godtycklig kod via skapad text.

• CVE-2015-4760

  Layoutmotorn saknade flera gränskontroller. Dessa kunde leda till buffertspill och minneskorruption. En speciellt skapad fil kunde orsaka en applikation som använder ICU att tolka opålitliga fontfiler att krascha och, möjligen, att köra godtycklig kod.

Utöver detta upptäcktes det att patchen som har applicerats till ICU i DSA-3187-1 för CVE-2014-6585 var ofullständig, vilket kan leda till ogiltig minnesåtkomst. Detta kunde tillåta fjärrangripare att avslöja en del av privat minne via skapade fontfiler.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 4.8.1.1-12+deb7u3.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 52.1-8+deb8u2.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 52.1-10.

För den instabila utgåvan (Sid) har dessa problem rättats i version 52.1-10.

Vi rekommenderar att ni uppgraderar era icu-paket.