Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3725-1 icu

Debians sikkerhedsbulletin

DSA-3725-1 icu -- sikkerhedsopdatering

Rapporteret den:

27. nov 2016

Berørte pakker:

icu

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 838694.
I Mitres CVE-ordbog: CVE-2014-9911, CVE-2015-2632, CVE-2015-4844, CVE-2016-0494, CVE-2016-6293, CVE-2016-7415.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i biblioteket International Components for Unicode (ICU).

• CVE-2014-9911

  Michele Spagnuolo opdagede en bufferoverløbssårbarhed, der måske kunne gøre det muligt for fjernangribere at forårsage et lammelsesangreb (denial of service) eller muligvis udførelse af vilkårlig kode gennem fabrikeret tekst.

• CVE-2015-2632

  En heltalsoverløbsårbarhed kunne måske føre til et lammelsesangreb eller afsløring af en del af applikationshukommelsen, hvis en angriber har kontrol over inddatafilen.

• CVE-2015-4844

  Bufferoverløbssårbarheder kunne måske gøre det muligt for en angriber med kontrol over skrifttypefilene, at iværksætte et lammelsesangreb eller muligvis udførelse af vilkårlig kode.

• CVE-2016-0494

  Problemer med heltalsforegn opstod som en del af rettelsen af CVE-2015-4844.

• CVE-2016-6293

  Et bufferoverløb kunne måske gøre det muligt for en angriber, at iværksætte et lammelsesangreb eller afsløre dele af applikationshukommelsen.

• CVE-2016-7415

  Et stakbaseret bufferoverløb kunne gør det muligt for en angriber med kontrol over locale-strengen, at iværksætte et lammelsesangreb og muligvis udføre vilkårlig kode.

I den stabile distribution (jessie), er disse problemer rettet i version 52.1-8+deb8u4.

I den ustabile distribution (sid), er disse problemer rettet i version 57.1-5.

Vi anbefaler at du opgraderer dine icu-pakker.