[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Segurança] [DSA 228-1] Novos pacotes libmcrypt corrigem buffer overflows e esgotamento de memó ria

--------------------------------------------------------------------------
Alerta de Segurança Debian DSA 228-1                   security@debian.org
http://www.debian.org/security/                             Martin Schulze
14 de Janeiro de 2003			http://www.debian.org/security/faq
--------------------------------------------------------------------------

Pacote			: libmcrypt
Vulnerabilidade		: buffer overflows e esgotamento de memória
Tipo de Problema	: remoto
Específico ao Debian	: não
Id CVE			: CAN-2003-0031 CAN-2003-0032

Ilia Alshanetsky descobriu vários buffer overflows na libmcrypt, uma
biblioteca para decriptografia e criptografia, que originam-se a partir
de uma validação de saída inadequada. Ao passar uma saída, que é mais 
longa do que esperada, a um número de funções (múltiplas funções são 
afetadas), o usuário pode fazer com sucesso com que a libmcrypt trave e
pode também estar apto a inserir código arbitrário e malicioso que pode
ser executado sob o usuário libmcrypt, por exemplo, dentro de um servidor
web.

Outra vulnerabilidade existe na forma como a libmcrypt carrega algorítmos
via libtool.  Quando diferentes algorítimos são carregados dinamicamente,
cada vez que isso acontece, uma pequena parte de memória é perdida. 
Em um ambiente persistente (como um servidor web) isto pode levar a um
ataque de exaustão de memória ao lançar requisições repetidas para uma
aplicação utilizando a biblioteca mcrypt.

Na distribuição estável (woody), este problema foi corrigido na versão 
2.5.0-1woody1.

A antiga distribuição estável (potato) não contém pacotes libmcrypt.

Na distribuição instável (sid), estes problemas foram corrigidos na versão
2.5.5-1.

Nós recomendamos que você atualize seus pacotes libmcrypt.

--------------------------------------------------------------------------
Essa é uma tradução do DSA original, enviado para a lista 
debian-security-announce@lists.debian.org. Caso queira receber os 
alertas em inglês e minutos depois de sua publicação, inscreva-se na 
lista acima, através do endereço:
http://www.debian.org/MailingLists/subscribe#debian-security-announce
--------------------------------------------------------------------------

Attachment: pgpczDWDKsOoP.pgp
Description: PGP signature

Reply to: