Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3152-1 unzip

Bulletin d'alerte Debian

DSA-3152-1 unzip -- Mise à jour de sécurité

Date du rapport :

3 février 2015

Paquets concernés :

unzip

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 776589.
Dans le dictionnaire CVE du Mitre : CVE-2014-9636.

Plus de précisions :

Un défaut a été découvert dans la fonction test_compr_eb() permettant un accès en écriture et en lecture hors limites à des zones mémoire. En contrefaisant soigneusement une archive ZIP corrompue, un attaquant peut déclencher un dépassement de zone de mémoire, ayant pour conséquence le plantage de l'application ou avoir éventuellement un autre impact non indiqué.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 6.0-8+deb7u2. Cette mise à jour corrige en plus un correctif défectueux appliqué pour traiter CVE-2014-8139, qui provoque une régression pour les fichiers jar exécutables.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 6.0-15. Le correctif défectueux appliqué pour traiter CVE-2014-8139 a été corrigé dans la version 6.0-16.

Nous vous recommandons de mettre à jour vos paquets unzip.