Информация по безопасности / 2015 / Информация о безопасности -- DSA-3152-1 unzip

Рекомендация Debian по безопасности

DSA-3152-1 unzip -- обновление безопасности

Дата сообщения:

03.02.2015

Затронутые пакеты:

unzip

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 776589.
В каталоге Mitre CVE: CVE-2014-9636.

Более подробная информация:

В функции test_compr_eb() была обнаружена уязвимость, позволяющая осуществлять чтение и запись за пределами выделенной памяти. При помощи специально сформированного архива ZIP злоумышленник может вызвать переполнение динамической памяти, приводящее к аварийному завершению приложения, либо к какому-либо другому неизвестному воздействию на систему.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 6.0-8+deb7u2. Кроме того, данное обновление исправляет проблему, возникшую из-за некорректного исправления CVE-2014-8139, которая вызвала регресс, проявляющийся при обработке исполняемых файлах jar.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 6.0-15. Указанное выше некорректное исправление CVE-2014-8139 было исправлено в версии 6.0-16.

Рекомендуется обновить пакеты unzip.