Bulletin d'alerte Debian

DLA-617-1 libarchive -- Mise à jour de sécurité pour LTS

Date du rapport :
10 septembre 2016
Paquets concernés :
libarchive
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 784213.
Dans le dictionnaire CVE du Mitre : CVE-2015-8915, CVE-2016-7166.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans libarchive, une bibliothèque d'archive et de compression multi-format. Un attaquant pourrait tirer avantage de ces défauts pour provoquer une lecture hors limites ou un déni de service à l'encontre d'une application utilisant la bibliothèque libarchive12 en se servant d'un fichier d'entrée soigneusement contrefait.

  • CVE-2015-8915

    Paris Zoumpouloglou de Project Zero labs a découvert un défaut dans bsdtar de libarchive. Avec un fichier contrefait, bsdtar peut réaliser une lecture de mémoire hors limites qui mènera à une erreur de segmentation.

  • CVE-2016-7166

    Alexander Cherepanov a découvert un défaut dans le traitement de la compression de libarchive. Avec un fichier gzip contrefait, il est possible d'obtenir que libarchive invoque une chaîne infinie de compresseurs gzip jusqu'à ce que toute la mémoire soit épuisée ou qu'une autre limite de ressource se fasse sentir.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.0.4-3+wheezy3.

Nous vous recommandons de mettre à jour vos paquets libarchive.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.