Säkerhetsbulletin från Debian
DSA-3386-1 unzip -- säkerhetsuppdatering
- Rapporterat den:
- 2015-10-31
- Berörda paket:
- unzip
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 802160, Fel 802162.
I Mitres CVE-förteckning: CVE-2015-7696, CVE-2015-7697. - Ytterligare information:
-
Två sårbarheter har upptäckts i unzip, en dearkiverare för .zip-filer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2015-7696
Gustavo Grieco upptäckte att unzip hanterar vissa lösenordsskyddade arkiv felaktigt. Om en användare eller ett automatiserat system luras till att behandla ett speciellt skapat ziparkiv, kan en angripare möjligen köra godtycklig kod.
- CVE-2015-7697
Gustavo Grieco upptäckte att unzip felaktigt hanterar vissa felaktigt formatterade arkiv. Om en användare eller ett automatiserat system luras till att behandla ett speciellt skapat ziparkiv, kan en angripare möjligen orsaka unzip att hänga sig, vilket resulterar i en överbelastning.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 6.0-8+deb7u4.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 6.0-16+deb8u1.
För uttestningsutgåvan (Stretch) har dessa problem rättats i version 6.0-19.
För den instabila utgåvan (Sid) har dessa problem rättats i version 6.0-19.
Vi rekommenderar att ni uppgraderar era unzip-paket.
- CVE-2015-7696