Csomag: dietlibc
Sebezhetőség: egész túlcsordulás
Probléma típus: távoli
Debian-specifikus: nem
CVE Id: CAN-2002-0391
CERT advisory: VU#192995
A dietlibc upstream szerzője, Felix von Leitner, felfedezett egy lehetséges nullával osztást az fwrite és calloc egész túlcsordulás ellenőrzésénél, amit az alábbi verziók javítanak.Az új verziók tartalmazzák a javításokat a DSA-146-1-ből, így a teljesség kedvéért itt a másik hibajegy szövege:
Egy egész túlcsordulási hibát találtak az RPC könyvtárban, amit a dietlibc használt. Ez egy optimalizált, kis méretű libc, ami a SunRPC könyvtárból származik. Ezt a hibát ki lehet használni hogy jogosulatlanul root hozzáférés szerezésre egy olyan programon keresztül, ami ehhez a könyvtárhoz van szerkesztve. Az alábbi csomagok javítják az egész túlcsordulást a calloc, fread, és fwrite kódjában. Ezek szigorúbbak a rosszindulatú DNS csomagokat tekintve, amelyek szintén sebezhetőséghez vezethetnek.
Ezek a problémák javítva vannak a 0.12-2.4 verzióban az aktuális stabil disztribúcióban (woody), és a 0.20-0cvs20020808 verzióban az aktiuális unstabil disztribúcióban (sid). A Debian 2.2 (potato) nem érintett lévén az nem tartalmazza a dietlibc csomagokat.
Javasoljuk azonnal frissítsd a dietlibc csomagjaid.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.