Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3386-1 unzip

Säkerhetsbulletin från Debian

DSA-3386-1 unzip -- säkerhetsuppdatering

Rapporterat den:

2015-10-31

Berörda paket:

unzip

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 802160, Fel 802162.
I Mitres CVE-förteckning: CVE-2015-7696, CVE-2015-7697.

Ytterligare information:

Två sårbarheter har upptäckts i unzip, en dearkiverare för .zip-filer. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-7696

  Gustavo Grieco upptäckte att unzip hanterar vissa lösenordsskyddade arkiv felaktigt. Om en användare eller ett automatiserat system luras till att behandla ett speciellt skapat ziparkiv, kan en angripare möjligen köra godtycklig kod.

• CVE-2015-7697

  Gustavo Grieco upptäckte att unzip felaktigt hanterar vissa felaktigt formatterade arkiv. Om en användare eller ett automatiserat system luras till att behandla ett speciellt skapat ziparkiv, kan en angripare möjligen orsaka unzip att hänga sig, vilket resulterar i en överbelastning.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 6.0-8+deb7u4.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 6.0-16+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 6.0-19.

För den instabila utgåvan (Sid) har dessa problem rättats i version 6.0-19.

Vi rekommenderar att ni uppgraderar era unzip-paket.