DSA 550-1: Az új wv csomagok javítják a tetszőleges kódfuttatási problémát

Bug

Csomag: wv

Sebezhetőség: puffer túlcsordulás

Probléma-típusa: távoli

Debian-specifikus: nem

CVE ID: CAN-2004-0645iDEFENSE fedezte fel a hibát a wv-ben (MS Word konvertáló/nézegető), amely kihasználásával tetszőleges kód válik futtathatóvá az áldozat gépén.

A stabil disztribúcióban (woody) a problemát a 0.7.1+rvt-2woody3-as csomagverzióban javítják.

Az instabilban (sid) a sebezhetőség a későbbiekben kerül javításra.

A wv csomagok frissítése ajánlott!

Martin Schulze bejelentése | hír a DSA lapon | a frissítésről szóló FAQ-nk.

( Zahy v | 2004. 09. 24., p – 14:16 )

Napok óta motoszkált a fejemben, ma csak utánanéztem. Szóval azért annyit hozzátennék, hogy a CVE-hibajegy július 9-i, ha jól látom. (Most ugye szeptember huszonX van, ez több, mint 2 hónap.) Ami pedig az én szívemet különös örömmel tölti el, hogy pl. FreeBSD-ben ugyan nem adtak ki róla hibajegyet, ezzel szemben a logok alapján július 28-án javították :-) (referencia: http://www.freshports.org/textproc/wv/ oldalon elolvasható)

És egy megjegyzés: a hiba mellesleg azért kissé cikis, mert pl. az AbiWord (ugye kvázi-hivatalos GNOME-Office eszköz) ezt a wv-library-t használja, a neten pedig millió oldal van, ahol hülye doc-ban adnak ki dolgokat. Szegény szerencsétlen (mondjuk lassú gépen) netező felhasználó pedig, aki nem tud/akar/szeret OOo-t használni, simán bekaphatja a legyet egy ilyentől.