[Security-team] I: libast stack overflow vulnerability (CVE-2006-0224)

Вт Янв 31 18:15:05 MSK 2006

On Tue, Jan 31, 2006 at 05:41:25PM +0300, Vladimir Lettiev wrote:
> >>Обнаружено переполнение буфера в библиотеке libast версии
> >>0.6.1 и более ранних. [...] Кто соберёт обновление?
> >Могу собрать 0.7.  Патча к 0.6.1 за эту ~неделю не видел.
> Могу показать ;) В атаче возможный вариант фикса для 0.6.1,

Ну могу в bp/3.0 забросить с просьбой проверить на регрессы.
Пока вот здесь: http://paq.osdn.org.ua/~mike/tmp/libast/

> вытащенный из 0.7. Для 0.5 в принципе тоже самое (за
> исключением последнего куска), но изменений слишком много,
> чтобы быть уверенным на 100%, что ничего не сломается.

Так отож.  У меня сейчас голова достаточно сильно не варит,
чтобы в стоящий в очереди ImageMagick смотреть мутным взглядом...

(на халяву патч не лёг)

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/security-team/attachments/20060131/1b604a3b/attachment-0003.bin>