Рекомендация Debian по безопасности

DLA-150-1 unzip -- обновление безопасности LTS

Дата сообщения:
07.02.2015
Затронутые пакеты:
unzip
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 775640, Ошибка 776589.
В каталоге Mitre CVE: CVE-2014-8139, CVE-2014-9636.
Более подробная информация:

В функции test_compr_eb() была обнаружена уязвимость, позволяющая получать доступ для чтения и записи за пределами выделенных областей памяти. При помощи специально сформированного повреждённого архива ZIP злоумышленник может вызвать переполнение динамической памяти, приводящее к аварийной остановке приложения или потенциально оказать какое-то другое влияние на безопасность.

Кроме того, данное обновление исправляет неполную заплату, применённую для решения CVE-2014-8139. Эта заплата привела к регессу с выполняемыми файлами jar.

В Debian 6 Squeeze эти проблемы были исправлены в unzip версии 6.0-4+deb6u2