Debian DSA-3323-1：icu - セキュリティ更新

critical Nessus プラグイン ID 85162

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

複数の脆弱性が International Components for Unicode（ICU）ライブラリで発見されています。

- CVE-2014-8146 Unicode の双方向アルゴリズムの実装では、方向性で区分けした個々のテキストを適切に追跡しません。これにより、リモートの攻撃者は、細工されたテキストを介してサービス拒否（ヒープベースのバッファオーバーフロー）を引き起こすことができます。あるいは任意のコードを実行する可能性があります。

- CVE-2014-8147 Unicode の双方向アルゴリズムの実装では、ヘッダーファイルと一致しない整数データ型を使用しています。これにより、リモートの攻撃者は、細工されたテキストを介してサービス拒否（間違った malloc とそれに続く無効な解放）を引き起こすことができます。あるいは任意のコードを実行する可能性があります。

- CVE-2015-4760 レイアウトエンジンに複数の境界検査が欠けていました。
これらは、バッファオーバーフローやメモリ破損を引き起こす可能性があります。特別に細工されたファイルが、ICUを使用するアプリケーションに信頼できないフォントファイルを解析させ、クラッシュさせたり、任意のコードが実行されたりする可能性があります。

また、CVE-2014-6585 に対する DSA-3187-1 で ICU に適用されたパッチは不完全であり、無効なメモリアクセスを引き起こす可能性があることが判明しました。これにより、リモートの攻撃者は、細工されたフォントファイルを通じてメモリの非公開部分を漏洩させる可能性があります。

ソリューション

icu パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（wheezy）では、これらの問題はバージョン 4.8.1.1-12+deb7u3 で修正されています。

安定版（stable）ディストリビューション（jessie）では、これらの問題はバージョン52.1-8+deb8u2 で修正されています。