Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3152-1 unzip

Säkerhetsbulletin från Debian

DSA-3152-1 unzip -- säkerhetsuppdatering

Rapporterat den:

2015-02-03

Berörda paket:

unzip

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 776589.
I Mitres CVE-förteckning: CVE-2014-9636.

Ytterligare information:

En brist har upptäckts i funktionen test_compr_eb() som tillåter läs- och skrivåtkomst utanför gränserna till minnesplatser. Genom att försiktigt skapa ett ZIP-arkiv kan en angripare trigga ett heapbaserat bufferspill, vilket resulterar i applikationskrasch eller möjligen anndra ospecificerade resultat.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 6.0-8+deb7u2. Utöver detta korrigerar denna uppdatering en defekt patch som har applicerats för att adressera CVE-2014-8139, som orsakade en regression med körbara jar-filer.

För den instabila utgåvan (Sid) har detta problem rättats i version 6.0-15. Den defekta patchen som applicerades för att adressera CVE-2014-8139 har korrigerats i version 6.0-16.

Vi rekommenderar att ni uppgraderar era unzip-paket.