Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3725-1 icu

Säkerhetsbulletin från Debian

DSA-3725-1 icu -- säkerhetsuppdatering

Rapporterat den:

2016-11-27

Berörda paket:

icu

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 838694.
I Mitres CVE-förteckning: CVE-2014-9911, CVE-2015-2632, CVE-2015-4844, CVE-2016-0494, CVE-2016-6293, CVE-2016-7415.

Ytterligare information:

Flera sårbarheter har upptäckts i biblioteket International Components for Unicode (ICU).

• CVE-2014-9911

  Michele Spagnuolo upptäckte ett buffertspill som kan tillåta fjärrangripare att orsaka en överbelastning eller möjligen exekvera godtycklig kod via skapad text.

• CVE-2015-2632

  En heltalsspillsårbarhet kan leda till överbelastning eller avslöjande av en del av applikationsminne om en angripare har kontroll av indatafilen.

• CVE-2015-4844

  Sårbarheter för buffertspill kan tillåta en angripare med kontroll över typsnittsfilen att utföra en överbelastning, eller möjligen exekvera godtycklig kod.

• CVE-2016-0494

  Problem med heltalstecken introducerades som en del av rättningen av CVE-2015-4844.

• CVE-2016-6293

  Ett buffertspill kan tillåta en angripare att utföra en överbelastning eller avslöjande av en del av applikationsminne.

• CVE-2016-7415

  Ett stackbaserat buffertspill kan tillåta en angripare med kontroll av locale-strängen att utföra en överbelastning och möjligen köra godtycklig kod.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 52.1-8+deb8u4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 57.1-5.

Vi rekommenderar att ni uppgraderar era icu-paket.