Bulletin d'alerte Debian

DLA-661-1 libarchive -- Mise à jour de sécurité pour LTS

Date du rapport :
17 octobre 2016
Paquets concernés :
libarchive
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 840934, Bogue 840935, Bogue 840936.
Dans le dictionnaire CVE du Mitre : CVE-2016-8687, CVE-2016-8688, CVE-2016-8689.
Plus de précisions :

Agostino Sarubbo de Gentoo a découvert plusieurs vulnérabilités de sécurité dans libarchive, une bibliothèque d'archive et de compression multi-format. Un attaquant pourrait tirer avantage de ces défauts pour provoquer un dépassement de tampon ou une lecture hors limites en utilisant un fichier d'entrée soigneusement contrefait.

  • CVE-2016-8687

    Agostino Sarubbo de Gentoo a découvert un possible dépassement de pile lors de l'affichage d'un nom de fichier dans bsdtar_expand_char() de util.c.

  • CVE-2016-8688

    Agostino Sarubbo de Gentoo a découvert une possible lecture hors limites lors de l'analyse de longues lignes multiples dans bid_entry() et detect_form() d'archive_read_support_format_mtree.c.

  • CVE-2016-8689

    Agostino Sarubbo de Gentoo a découvert un possible dépassement de tas lors de la lecture de fichiers 7z corrompus dans read_Header() d'archive_read_support_format_7zip.c.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.0.4-3+wheezy5.

Nous vous recommandons de mettre à jour vos paquets libarchive.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.