Рекомендация Debian по безопасности
DSA-3386-1 unzip -- обновление безопасности
- Дата сообщения:
- 31.10.2015
- Затронутые пакеты:
- unzip
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 802160, Ошибка 802162.
В каталоге Mitre CVE: CVE-2015-7696, CVE-2015-7697. - Более подробная информация:
-
В unzip, разархиваторе файлов .zip, было обнаружено две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2015-7696
Густаво Грико обнаружил, что unzip неправильно обрабатывает определённые архивы, защищённые паролями. Если пользователь или автоматизированная система запросили обработку специально сформированного архива zip, то злоумышленник может выполнить произвольный код.
- CVE-2015-7697
Густаво Грико обнаружил, что unzip неправильно обрабатывает определённые некорректные архивы. Если пользователь или автоматизированная система запросили обработку специально сформированного архива zip, то злоумышленник может вызвать зависание unzip, приводящее к отказу в обслуживании.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 6.0-8+deb7u4.
В стабильном выпуске (jessie) эти проблемы были исправлены в версии 6.0-16+deb8u1.
В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 6.0-19.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 6.0-19.
Рекомендуется обновить пакеты unzip.
- CVE-2015-7696