Debians sikkerhedsbulletin

DSA-3599-1 p7zip -- sikkerhedsopdatering

Rapporteret den:
9. jun 2016
Berørte pakker:
p7zip
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 824160.
I Mitres CVE-ordbog: CVE-2016-2335.
Yderligere oplysninger:

Marcin Icewall Noga fra Cisco Talos opdagede en læsning uden for grænserne-sårbarhed i metoden CInArchive::ReadFileItem i p7zip, et 7zr-filarkiveringsprogram med et højt komprimeringsniveau. En fjernangriber kunne udnytte fejlen til at forårsage et lammeslesangreb (denial of service) eller potentielt udførelse af vilkårlig kode med rettighederne hørende til brugeren, der kører p7zip, hvis en særligt fremstillet UDF-fil blev behandlet.

I den stabile distribution (jessie), er dette problem rettet i version 9.20.1~dfsg.1-4.1+deb8u2.

I distributionen testing (stretch), er dette problem rettet i version 15.14.1+dfsg-2.

I den ustabile distribution (sid), er dette problem rettet i version 15.14.1+dfsg-2.

Vi anbefaler at du opgraderer dine p7zip-pakker.