path: root/russian/security/2014/dsa-2843.wml

#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" maintainer="Lev Lamberov"
<define-tag description>переполнение буфера</define-tag>
<define-tag moreinfo>
<p>Было сообщено о двух переполнениях буфера в Graphviz, богатом
наборе инструментов рисования. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:</p>

<ul>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0978">CVE-2014-0978</a>

    <p>Было обнаружено, что переданный пользователем ввод, используемый в функции yyerror()
    в lib/cgraph/scan.l, не проверяется на предмет нарушения предельного размера до его копирования
    в буфер памяти недостаточного объема. Атакующий
    может передать специально сформированный вводный файл, содержащий
    длинную строку, чтобы вызвать переполнение динамической памяти,
    приводящей к отказу в обслуживании (аварийное завершение приложения) или потенциальному
    выполнению произвольного кода.</p></li>

<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1236">CVE-2014-1236</a>

    <p>Себастиан Крамер сообщил о состоянии переполнения в функции chkNum()
    в lib/cgraph/scan.l, которое возникает когда используемое регулярное
    выражение принимает произвольно длинный список чисел. При помощи специально
    сформированного вводного файла атакующий может вызвать
    переполнение динамической памяти, приводящее к отказу в обслуживании
    (аварийное завершение приложения) или потенциальному выполнению
    произвольного кода.</p></li>

</ul>

<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 2.26.3-5+squeeze2.</p>

<p>В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 2.26.3-14+deb7u1.</p>

<p>В нестабильном выпуске (sid) эти проблемы будут исправлены позже.</p>

<p>Рекомендуется обновить пакеты graphviz.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2843.data"
# $Id$