Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3152-1 unzip

Debians sikkerhedsbulletin

DSA-3152-1 unzip -- sikkerhedsopdatering

Rapporteret den:

3. feb 2015

Berørte pakker:

unzip

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 776589.
I Mitres CVE-ordbog: CVE-2014-9636.

Yderligere oplysninger:

En fejl blev fundet i funktionen test_compr_eb(), hvilket gjorde det muligt at læse og skrive i hukommelsen uden for grænserne. Ved omhyggeligt at fremstille et defekt ZIP-arkiv, kunne en angriber udløse et heapoverløb, medførende et applikationsnedbrud eller muligvis andre ikke-oplyste følger.

I den stabile distribution (wheezy), er dette problem rettet i version 6.0-8+deb7u2. Opdateringen retter desuden en defekt patch, som blev anvendt til at løse CVE-2014-8139, der forårsagede en regression med udførbare jar-filer.

I den ustabile distribution (sid), er dette problem rettet i version 6.0-15. Den defekte patch, der blev anvendt til at løse CVE-2014-8139 blev rettet i version 6.0-16.

Vi anbefaler at du opgraderer dine unzip-pakker.