-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 228-1 security@debian.org http://www.debian.org/security/ Martin Schulze 14 de Janeiro de 2003 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : libmcrypt Vulnerabilidade : buffer overflows e esgotamento de memória Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2003-0031 CAN-2003-0032 Ilia Alshanetsky descobriu vários buffer overflows na libmcrypt, uma biblioteca para decriptografia e criptografia, que originam-se a partir de uma validação de saída inadequada. Ao passar uma saída, que é mais longa do que esperada, a um número de funções (múltiplas funções são afetadas), o usuário pode fazer com sucesso com que a libmcrypt trave e pode também estar apto a inserir código arbitrário e malicioso que pode ser executado sob o usuário libmcrypt, por exemplo, dentro de um servidor web. Outra vulnerabilidade existe na forma como a libmcrypt carrega algorítmos via libtool. Quando diferentes algorítimos são carregados dinamicamente, cada vez que isso acontece, uma pequena parte de memória é perdida. Em um ambiente persistente (como um servidor web) isto pode levar a um ataque de exaustão de memória ao lançar requisições repetidas para uma aplicação utilizando a biblioteca mcrypt. Na distribuição estável (woody), este problema foi corrigido na versão 2.5.0-1woody1. A antiga distribuição estável (potato) não contém pacotes libmcrypt. Na distribuição instável (sid), estes problemas foram corrigidos na versão 2.5.5-1. Nós recomendamos que você atualize seus pacotes libmcrypt. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpczDWDKsOoP.pgp
Description: PGP signature