Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3289-1 p7zip

Debians sikkerhedsbulletin

DSA-3289-1 p7zip -- sikkerhedsopdatering

Rapporteret den:

15. jun 2015

Berørte pakker:

p7zip

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 774660.
I Mitres CVE-ordbog: CVE-2015-1038.

Yderligere oplysninger:

Alexander Cherepanov opdagede at p7zip var ramt af en mappegennemløbssårbarhed. Under udpakning af et arkiv, blev symlinks udpakket og dernæst fulgt, hvis der var referencer til dem i efterfølgende forekomster. Det kunne udnyttes af et ondsindet arkiv til at skrive filer uden for den aktuelle mappe.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 9.20.1~dfsg.1-4+deb7u1.

I den stabile distribution (jessie), er dette problem rettet i version 9.20.1~dfsg.1-4.1+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 9.20.1~dfsg.1-4.2.

Vi anbefaler at du opgraderer dine p7zip-pakker.