Bulletin d'alerte Debian

DSA-608-1 zgv -- Dépassements d'entier, données d'entrées non sécurisées

Date du rapport:

14 décembre 2004

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 11556.
Dans le dictionnaire CVE du Mitre : CVE-2004-1095, CVE-2004-0999.

Pour plus d'information:

Plusieurs vulnérabilités ont été découvertes dans zgv, un visualiseur graphique pour les architectures i386, utilisant SVGAlib. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

CAN-2004-1095
« infamous41md » a découvert plusieurs dépassements d'entier dans zgv. L'exploitation à distance d'un dépassement d'entier peut permettre l'exécution d'un code arbitraire.
CAN-2004-0999
Mikulas Patocka a découvert qu'une image GIF animée malveillante pouvait entraîner une erreur de segmentation de la part de zgv.

Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 5.5-3woody1.

Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés.

Nous vous recommandons de mettre à jour votre paquet zgv immédiatement.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.dsc; http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2.diff.gz; http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5.orig.tar.gz
Intel IA-32:: http://security.debian.org/pool/updates/main/z/zgv/zgv_5.5-3woody2_i386.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.