Säkerhetsbulletin från Debian

DSA-3599-1 p7zip -- säkerhetsuppdatering

Rapporterat den:
2016-06-09
Berörda paket:
p7zip
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 824160.
I Mitres CVE-förteckning: CVE-2016-2335.
Ytterligare information:

Marcin Icewall Noga från Cisco Talos upptäckte en läsning utanför gränserna i metoden CInArchive::ReadFileItem i p7zip, en filarkiverare för 7zr med hög kompressionsratio. En fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning eller potentiellt körning av godtycklig kod med samma rättigheter som användaren som kör p7zip, om en speciellt skapad UDF-fil behandlas.

För den stabila utgåvan (Jessie) har detta problem rättats i version 9.20.1~dfsg.1-4.1+deb8u2.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 15.14.1+dfsg-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 15.14.1+dfsg-2.

Vi rekommenderar att ni uppgraderar era p7zip-paket.