Debian-Sicherheitsankündigung

DSA-624-1 zip -- Pufferüberlauf

Datum des Berichts:
05. Jan 2005
Betroffene Pakete:
zip
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2004-1010.
Weitere Informationen:

In zip, dem Archivierungsprogramm für .zip-Dateien, wurde ein Pufferüberlauf entdeckt. Bei der rekursiven Kompression von Verzeichnissen überprüfte das Programm nicht die endgültige Länge des Pfades, wodurch Speicherbereiche überschrieben wurden. Ein böswilliger Angreifer konnte einen Anwender dazu bringen, ein Archiv mit einem speziell präparierten Pfadnamen zu erstellen, wodurch beliebiger Code ausgeführt werden konnte.

Für die Stable-Distribution (Woody) wurde dieses Problem in Version 2.30-5woody2 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.30-8 behoben.

Wir empfehlen Ihnen, Ihr zip-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2.dsc
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2.diff.gz
http://security.debian.org/pool/updates/main/z/zip/zip_2.30.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/z/zip/zip_2.30-5woody2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.