Информация по безопасности / 2015 / Информация о безопасности -- DSA-3213-1 arj

Рекомендация Debian по безопасности

DSA-3213-1 arj -- обновление безопасности

Дата сообщения:

06.04.2015

Затронутые пакеты:

arj

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 774015, Ошибка 774434, Ошибка 774435.
В каталоге Mitre CVE: CVE-2015-0556, CVE-2015-0557, CVE-2015-2782.

Более подробная информация:

В arj, версии архиватора arj с открытым исходным кодом, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-0556

  Якуб Вилк обнаружил, что arj переходит по символическим ссылкам во время распаковки архивов arj. Удалённый злоумышленник может использовать данную уязвимость для выполнения перехода в каталог в случае, если пользователь или автоматизированная система вынуждены обработать специально сформированный архив arj.

• CVE-2015-0557

  Якуб Вилк обнаружил, что arj не достаточно защищён от перехода в каталог во время распаковки архивов arj, содержащих пути с несколькими идущими подряд косыми чертами. Удалённый злоумышленник может использовать данную уязвимость для записи произвольных файлов в случае, если пользователь или автоматизированная система вынуждены обработать специально сформированный архив arj.

• CVE-2015-2782

  Якуб Вилк и Гиллем Йовер обнаружили переполнение буфера в arj. Удалённый злоумышленник может использовать данную уязвимость для аварийного завершения работы или потенциального выполнения произвольного кода с правами доступа пользователя, запустившего arj.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.10.22-10+deb7u1.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 3.10.22-13.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.10.22-13.

Рекомендуется обновить пакеты arj.