LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-631-1 unadf

Bulletin d'alerte Debian

DLA-631-1 unadf -- Mise à jour de sécurité pour LTS

Date du rapport :

21 septembre 2016

Paquets concernés :

unadf

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-1243, CVE-2016-1244.

Plus de précisions :

Il y avait deux vulnérabilités dans unadf, un outil pour extraire des fichiers à partir d'un vidage d'un Amiga Disk File (.adf) :

• CVE-2016-1243

  Un dépassement de tampon de pile provoqué en faisant confiance aveuglement aux longueurs de nom de chemin des fichiers archivés.

  Le tampon de pile alloué sysbuf était rempli avec sprintf() sans aucune vérification de limites dans la fonction extracTree().

• CVE-2016-1244

  Exécution d'entrée non vérifiée

  La commande d'interpréteur utilisée pour créer les chemins de répertoire était construite en concaténant les noms des fichiers archivés à la fin de la chaîne de commande.

Pour Debian 7 Wheezy, ce problème a été corrigé dans unadf version 0.7.11a-3+deb7u1.

Nous vous recommandons de mettre à jour vos paquets unadf.