Bulletin d'alerte Debian

DSA-100-1 gzip -- Potentiel dépassement de tampon

Date du rapport:

13 janvier 2002

Paquets concernés:

gzip

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2001-1228.

Pour plus d'information:

GOBBLES a trouvé un dépassement de tampon dans gzip qui apparaît lors de la compression d'un fichier dont le nom de fichier est très long. Alors même que GOBBLES avoue avoir développé une astuce pour tirer profit de ce bogue, on a aussi entendu dire que ce problème n'était pas exploitable comme d'autres incidents de sécurité.

De plus, la version Debian de gzip dans la publication stable ne connaît pas d'erreur de segmentation, donc n'hérite pas directement de ce problème. Quoi qu'il en soit, mieux vaut prévenir que guérir, aussi nous vous avons préparé une mise à jour.

Veuillez vous assurer que vous utilisez une version à jour pour stable/unstable/testing avec au moins la version 1.2.4-33.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4-33.1.diff.gz; http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4-33.1.dsc; http://security.debian.org/dists/stable/updates/main/source/gzip_1.2.4.orig.tar.gz
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/gzip_1.2.4-33.1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/gzip_1.2.4-33.1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/gzip_1.2.4-33.1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/gzip_1.2.4-33.1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/gzip_1.2.4-33.1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/gzip_1.2.4-33.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.