Debians sikkerhedsbulletin

DSA-1511-1 libicu -- forskelligt

Rapporteret den:

3. mar 2008

Berørte pakker:

libicu

Sårbar:

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 463688.

Yderligere oplysninger:

Flere lokale sårbarheder er opdaget i libicu, International Components for Unicode. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:

CVE-2007-4770
libicu i International Components for Unicode (ICU) 3.8.1 og tidligere, forsøgte at behandle tilbagereferencer til den ikke-eksisterende capture-gruppe nul (dvs. \0), hvilket kunne gøre det muligt for indholdsafhængige angribere at læse fra, eller skrive til, hukommelsessteder uden for grænserne, med relation til korruption af REStackFrames.
CVE-2007-4771
Heap-baseret bufferoverløb i funktionen doInterval i regexcmp.cpp i libicu i International Components for Unicode (ICU) 3.8.1 og tidligere, gjorde det muligt for indholdsafhængige angribere at forårsage et lammelsesangreb (denial of service, hukommelsesforbrug) og muligvis have anden uangiven indvirken gennem et regulært udtryk, der skriver en stor mængde data til backtracking-stakken.

I den stabile distribution (etch), er disse problemer rettet i version 3.6-2etch1.

I den ustabile distribution (sid), er disse problemer rettet i version 3.8-6.

Vi anbefaler at du opgraderer din libicu-pakke.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:: http://security.debian.org/pool/updates/main/i/icu/icu_3.6.orig.tar.gz; http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.dsc; http://security.debian.org/pool/updates/main/i/icu/icu_3.6-2etch1.diff.gz
Arkitekturuafhængig komponent:: http://security.debian.org/pool/updates/main/i/icu/icu-doc_3.6-2etch1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_alpha.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_amd64.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_arm.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_arm.deb
HP Precision:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_hppa.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_i386.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_ia64.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_mips.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_mips.deb
PowerPC:: http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_powerpc.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_s390.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/i/icu/libicu36_3.6-2etch1_sparc.deb; http://security.debian.org/pool/updates/main/i/icu/libicu36-dev_3.6-2etch1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.