Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3213-1 arj

Säkerhetsbulletin från Debian

DSA-3213-1 arj -- säkerhetsuppdatering

Rapporterat den:

2015-04-06

Berörda paket:

arj

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 774015, Fel 774434, Fel 774435.
I Mitres CVE-förteckning: CVE-2015-0556, CVE-2015-0557, CVE-2015-2782.

Ytterligare information:

Flera sårbarheter har upptäckts i arj, en öppen källkodsversion av arkiveraren arj. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-0556

  Jakub Wilk upptäckte att arj följer symboliska länkar som skapats under uppackning av ett arjarkiv. En fjärrangripare kunde använda denna brist för att utföra ett katalogtraverseringsangrepp om en användare eller ett automatiserat system luras till att behandla en speciellt skapad arj-fil.

• CVE-2015-0557

  Jakub Wilk upptäckte att arj inte skyddar för katalogtraversering ordentligt vid uppackning av arj-arkiv som innehåller sökvägar med flera inledande snedstreck. En fjärrangripare kunde utnyttja denna brist för att skriva till godtyckliga filer om en användare eller ett automatiserat system luras till att behandla en speciellt skapad arj-fil.

• CVE-2015-2782

  Jakub Wilk och Guillem Jover upptäckte ett buffertspill i arj. En fjärrangripare kunde utnyttja denna brist för att orsaka en applikationskrasch, eller möjligtvis köra godtycklig kod med samma rättigheter som användaren som kör arj.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.10.22-10+deb7u1.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 3.10.22-13.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.10.22-13.

Vi rekommenderar att ni uppgraderar era arj-paket.