Bulletin d'alerte Debian

DLA-150-1 unzip -- Mise à jour de sécurité pour LTS

Date du rapport :
7 février 2015
Paquets concernés :
unzip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 775640, Bogue 776589.
Dans le dictionnaire CVE du Mitre : CVE-2014-8139, CVE-2014-9636.
Plus de précisions :

Un défaut a été découvert dans la fonction test_compr_eb() permettant un accès en écriture et en lecture hors limites à des zones de mémoire. En contrefaisant soigneusement une archive ZIP corrompue, un attaquant peut déclencher un dépassement de zone de mémoire, ayant pour conséquence le plantage de l'application ou avoir éventuellement un autre impact non indiqué.

Cette mise à jour corrige en plus un correctif défectueux appliqué pour traiter CVE-2014-8139, qui provoque une régression pour les fichiers jar exécutables.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 6.0-4+deb6u2 d'unzip.