Säkerhetsbulletin från Debian

DSA-146-2 dietlibc -- heltalsspill

Rapporterat den:

2002-08-08

Berörda paket:

Sårbara:

Referenser i säkerhetsdatabaser:

I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 5356.
I Mitres CVE-förteckning: CVE-2002-0391.
CERTs information om sårbarheter, bulletiner och incidenter: VU#192995.

Ytterligare information:

Ett heltalsspillsfel har upptäckts i RPC-biblioteket som används av dieltlibc, ett libc optimerat för liten storlek, vilket bygger på SunRPC-biblioteket. Detta fel kan utnyttjas för att uppnå oauktoriserad rootbehörighet i programvara som länkar mot denna kod. Paketen nedan rättar även heltalsspill i koden för calloc, fread och fwrite, samt är mer strikta vad gäller fientliga DNS-paket, vilka annars kunde leda till en sårbarhet.

Dessa probelm har rättats i version 0.12-2.4 för den aktuella stabila utgåvan (Woody) samt i version 0.20-0cvs20020808 för den aktuella instabila utgåvan (Sid). Debian 2.2 (Potato) berörs inte eftersom den inte innehåller några dietlibc-paket.

Vi rekommenderar att ni uppgraderar era dietlibc-paket omedelbart.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.dsc; http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12-2.4.diff.gz; http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc_0.12.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-doc_0.12-2.4_all.deb
Alpha:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_i386.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/d/dietlibc/dietlibc-dev_0.12-2.4_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.