圧縮ライブラリ zlib には、特定の条件下でメモリ領域を二重に開放する間違いがありました。 これは zlib とリンクするプログラムから任意のコマンドを実行する攻撃に使われる可能性があります。 また、管理者特権で実行されるネットワークアプリケーションの場合、これはリモートから管理者特権を奪われる潜在的危険性につながります。 ただし、現在まだ攻撃手法は知られていません。この脆弱性は CVE candidate name CAN-2002-0059 として登録されています。

この zlib の問題は安定版 (stable) のバージョン 1.1.3-5.1 で修正されています。 また、いくつかのプログラムが zlib にスタティックリンクしていたり、zlib のコードの写しを内部で使っていたりするため、これらのプログラムも zlib の問題の修正のためにアップグレードする必要があります。 問題となるパッケージと、修正済みのバージョンを以下のリストに示します。

• amaya 2.4-1potato1
• dictd 1.4.9-9potato1
• erlang 49.1-10.1
• freeamp 2.0.6-2.1
• mirrordir 0.10.48-2.1
• ppp 2.3.11-1.5
• rsync 2.3.2-1.6
• vrweb 1.5-5.1

リリース前のテスト版 (testing) の Debian を使っているユーザは zlib バージョン 1.1.3-19.1 か、それ以降のバージョンにアップグレードしてください。 こちらのバージョンの Debian はまだリリースされていないので、全アーキテクチャ向けの物が直ぐに用意されるとは限らないことに注意ください。 Debian 2.2 (potato) が最新の、サポートされているリリースです。

各パッケージを直ぐにアップグレードすることを勧めます。また、zlib 共有ライブラリを使う全プログラムを、修正を有効とするためリスタートする必要があることに注意してください。 これを行う最も簡単な方法は、システムのリブートです。