DSA-122-1

 ( gyu | 2002. március 12., kedd - 13:26 )

Csomag: zlib, és mások

Támadhatóság: malloc hiba (dupla felszabadítás)

Probléma típus: lehetséges távoli root

Debian specifikus: nem



Ahogy arról nemrégiben hírt adtunk a zlib-ben hibát találtak.

A hiba részleteiről lásd a DSA-122-1 jelentést.

A frissítés mikéntjéről pedig a
FAQ idevonatkozó részét.
A zlib tömörítést tartalmazó könyvtár (library) tartalmaz egy rést, mely bizonyos feltételek teljesülése esetén adott memóriaterületet több mint egyszer próbál felszabadítani. Ezt talán ki lehet használni arra, hogy tetszőleges kódot futtassunk egy olyan programban ami a zlib-et használja. Ha egy hálózati alkalmazást futtatunk root-ként, ami a zlib-hez van linkelve, az talán lehetőséget ad arra, hogy távolról megpróbálják rootként kompromittálni a renszerünket. Jelenleg nem ismert ilyen exploit. A támadhatóság a CAN-2002-0059 nevet kapta.



A támadhatóságot az 1.1.3-5.1 verziójú zlib Debian csomag tartalmazza. Számos program statikusan van a zlib-hez linkelve, ami ilymódon saját magában tartalmazza a hibás kódot, ezért szintén frissíteni kell őket. Az érintett csomagok, és a javítást tartalmazó verziószámok:

  • amaya 2.4-1potato1
  • dictd 1.4.9-9potato1
  • erlang 49.1-10.1
  • freeamp 2.0.6-2.1
  • mirrordir 0.10.48-2.1
  • ppp 2.3.11-1.5
  • rsync 2.3.2-1.6
  • rweb 1.5-5.1

Aki a Debian testing/unstable verzióját használja, azok számára az 1.1.3-19.1 vagy későbbi verziók tartalmazzák a javítást. Figyelem, mivel a Debian ezen verziója még nincs kiadva a frissítések lehet, hogy nem lesznek azonnal elérhetőek minden architektúrára. A Debian 2.2 (potato) a legutolsó támogatott kiadás.



Azt javasoljuk, hogy frissítsd a csomagjaid sürgősen. Figyelem, az összes olyan programot ami a zlib-et használja újra kell indítanod, hogy hatása legyen. A legegyszerűbb ha újraindítod a géped.