La bibliothèque de compression zlib contient une faille dans laquelle elle tente de libérer de la mémoire plus d'une fois sous certaines conditions. Ce qui peut potentiellement être exploité pour exécuter du code arbitraire dans un programme qui inclus zlib. Si une application réseau exécutée avec les droits du superutilisateur a une édition de liens avec zlib, cela peut potentiellement conduire à une compromission distante du compte root. Aucune exploitation n'est connue pour le moment. Cette vulnérabilité a reçue la proposition de nom CVE CAN-2002-0059.
La vulnérabilité de zlib a été corrigée dans le paquet Debian version 1.1.3-5.1. Il existe un certain nombre de programmes qui ont une édition de liens statique à zlib ou qui incluent une copie privée du code zlib. Ces programmes doivent eux aussi être mis à jour pour éliminer la vulnérabilité de zlib. Voici la liste des paquets affectés ainsi que les versions corrigées :
Ceux qui utilisent la préversion (testing) de Debian doivent mettre à jour zlib à la version 1.1.3-19.1 ou plus récente. Veuillez prendre note que, puisque cette distribution n'a pas encore été publiée, elle peut ne pas être disponible immédiatement pour toutes les architectures. Debian 2.2 (potato) est la dernière distribution supportée.
Nous vous recommandons de mettre à jour vos paquets immédiatement. Notez que vous devriez redémarrer tous les programmes qui utilisent la bibliothèque partagée zlib pour que la correction puisse être prise en compte. Ce qui peut facilement être fait en redémarrant le système.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.