Bulletin d'alerte Debian
DLA-617-1 libarchive -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 10 septembre 2016
- Paquets concernés :
- libarchive
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 784213.
Dans le dictionnaire CVE du Mitre : CVE-2015-8915, CVE-2016-7166. - Plus de précisions :
-
Plusieurs vulnérabilités de sécurité ont été découvertes dans libarchive, une bibliothèque d'archive et de compression multi-format. Un attaquant pourrait tirer avantage de ces défauts pour provoquer une lecture hors limites ou un déni de service à l'encontre d'une application utilisant la bibliothèque libarchive12 en se servant d'un fichier d'entrée soigneusement contrefait.
- CVE-2015-8915
Paris Zoumpouloglou de Project Zero labs a découvert un défaut dans bsdtar de libarchive. Avec un fichier contrefait, bsdtar peut réaliser une lecture de mémoire hors limites qui mènera à une erreur de segmentation.
- CVE-2016-7166
Alexander Cherepanov a découvert un défaut dans le traitement de la compression de libarchive. Avec un fichier gzip contrefait, il est possible d'obtenir que libarchive invoque une chaîne infinie de compresseurs gzip jusqu'à ce que toute la mémoire soit épuisée ou qu'une autre limite de ressource se fasse sentir.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 3.0.4-3+wheezy3.Nous vous recommandons de mettre à jour vos paquets libarchive.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2015-8915