Kompressionsbiblioteket zlib indeholder en fejl hvor det prøver at frigive hukommelse mere end en gang under visse omstændigheder. Dette kan muligvis udnyttes til at udføre vilkårlig kode i et program som indeholder zlib. Hvis et netværksprogram der kører som "root" er link'et til zlib, kunne dette potentielt føre til en fjernudnyttelse af root. Der er ikke kendskab til udnyttelser på nuværende tidspunkt. Sårbarheden har fået tildelt CVE-kandidatenavnet CAN-2002-0059.
zlib-sårbarheden er rettet i Debians zlib-pakke version 1.1.3-5.1. Et antal programmer link'er enten statisk til zlib, eller indeholder en privat kopi af zlib-koden. Disse programmer skal også opgraderes for at fjerne sårbarheden i zlib. Berørte pakker og rettede versioner følger:
Dem der bruger Debians før-udgivelse (test) bør opgradere til zlib 1.1.3-19.1 eller en senere version. Bemærk, da denne version af Debian ikke er udgivet endnu, vil det opgraderede program måske ikke være tilgængeligt til alle arkitekturer. Debian 2.2 (potato) er den nyeste, supporterede udgivelse.
Vi anbefaler at du omgående opgraderer dine pakker. Bemærk, at du bør genstarte alle programmer som anvender det delte zlib-bibliotek, for at rettelsen kan træde i kraft. Det gøres lettest ved at genstarte systemet.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.