Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3213-1 arj

Debians sikkerhedsbulletin

DSA-3213-1 arj -- sikkerhedsopdatering

Rapporteret den:

6. apr 2015

Berørte pakker:

arj

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 774015, Fejl 774434, Fejl 774435.
I Mitres CVE-ordbog: CVE-2015-0556, CVE-2015-0557, CVE-2015-2782.

Yderligere oplysninger:

Adskillige sårbarheder er opdaget i arj, en open source-udgave af arkiveringsprogrammet arj. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2015-0556

  Jakub Wilk opdagede at arj fulgte symlinks oprettet under udpakning af et arj-arkiv. En fjernangriber kunne udnytte fejlen til at gennemføre et mappegennemløbsangreb, hvis en bruger eller et automatiseretsystem blev narre til at behandle et særligt fremstillet arj-arkiv.

• CVE-2015-0557

  Jakub Wilk opdagede at arj ikke på tilstrækkelig vis beskyttede mod mappegennemløb under udpakning af et arj-arkiv indeholdende filstier med adskillige foranstillede skråstreger. En fjernangriber kunne udnytte fejlen til at skrive til vilkårlige filer, hvis en bruger eller et automatiseret system blev narret til at behandle et særligt fremstillet arj-arkiv.

• CVE-2015-2782

  Jakub Wilk og Guillem Jover opdagede en bufferoverløbssårbarhed i arj. En fjernangriber kunne udnytte fejlen til at forårsage et applikationsnedbrud eller muligvis udførelse af vilkårlig kode med rettighederne tilhørende den bruger, som kører arj.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.10.22-10+deb7u1.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 3.10.22-13.

I den ustabile distribution (sid), er disse problemer rettet i version 3.10.22-13.

Vi anbefaler at du opgraderer dine arj-pakker.