Bulletin d'alerte Debian

DLA-330-1 unzip -- Mise à jour de sécurité pour LTS

Date du rapport :
22 octobre 2015
Paquets concernés :
unzip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 802160, Bogue 802162.
Dans le dictionnaire CVE du Mitre : CVE-2015-7696, CVE-2015-7697.
Plus de précisions :

Gustavo Grieco a découvert avec un générateur de données aléatoires que unzip était vulnérable à un dépassement de tas et à un déni de service avec des archives ZIP, protégées par un mot de passe, contrefaites pour l'occasion.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 6.0-4+deb6u3 de unzip.