Aviso de seguridad de Debian
DSA-1181-1 gzip -- varias vulnerabilidades
- Fecha del informe:
- 19 de sep de 2006
- Paquetes afectados:
- gzip
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2006-4334, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337, CVE-2006-4338.
- Información adicional:
-
Tavis Ormandy, del equipo de seguridad de Google, descubrió varias vulnerabilidades en gzip, la utilidad de compresión de GNU. El proyecto Common Vulnerabilities and Exposures ha identificado los siguientes problemas:
- CVE-2006-4334
Una redirección de memoria a un puntero nulo podía conducir a una denegación de servicio si gzip se utilizaba de forma automática.
- CVE-2006-4335
La ausencia de verificación de los límites podía conducir a una modificación de la pila, permitiendo la ejecución de código arbitrario.
- CVE-2006-4336
Un desbordamiento de búfer en el código de soporte de pack podía llevar a la ejecución de código arbitrario.
- CVE-2006-4337
Un desbordamiento de búfer en el código de soporte de LZH podía conducir a la ejecución de código arbitrario.
- CVE-2006-4338
Un bucle infinito podía producir una denegación de servicio si se utilizaba gzip de forma automática.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.3.5-10sarge2.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.3.5-15.
Le recomendamos que actualice el paquete gzip.
- CVE-2006-4334
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2.dsc
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2.diff.gz
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_arm.deb
- HPPA:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gzip/gzip_1.3.5-10sarge2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.