Debians sikkerhedsbulletin

DSA-100-1 gzip -- potentielt bufferoverløb

Rapporteret den:

13. jan 2002

Berørte pakker:

gzip

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2001-1228.

Yderligere oplysninger:

GOBBLES har fundet et bufferoverløb i gzip som opstår ved komprimering af filer med rigtigt lange filnavne. Selvom GOBBLES hævder at have udviklet en udnyttelse af denne fejl, siger andre at dette problem sandsynligvis ikke vil blive udnyttet som som andre sikkerhedsproblemer.

Desuden segfault'er Debians udgave af gzip fra den stabile udgivelse ikke, og derfor arver den heller ikke direkte problemet. Men vi vil hellere være på den sikre side og har derfor gjort en opdatering klar.

Kontrollér at du kører en ajourført udgave fra stable/unstable/testing som er mindst version 1.2.4-33.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:: http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4-33.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4-33.1.dsc; http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/gzip_1.2.4-33.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/gzip_1.2.4-33.1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/gzip_1.2.4-33.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/gzip_1.2.4-33.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/gzip_1.2.4-33.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/gzip_1.2.4-33.1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.