LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-661-1 libarchive

Bulletin d'alerte Debian

DLA-661-1 libarchive -- Mise à jour de sécurité pour LTS

Date du rapport :

17 octobre 2016

Paquets concernés :

libarchive

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 840934, Bogue 840935, Bogue 840936.
Dans le dictionnaire CVE du Mitre : CVE-2016-8687, CVE-2016-8688, CVE-2016-8689.

Plus de précisions :

Agostino Sarubbo de Gentoo a découvert plusieurs vulnérabilités de sécurité dans libarchive, une bibliothèque d'archive et de compression multi-format. Un attaquant pourrait tirer avantage de ces défauts pour provoquer un dépassement de tampon ou une lecture hors limites en utilisant un fichier d'entrée soigneusement contrefait.

• CVE-2016-8687

  Agostino Sarubbo de Gentoo a découvert un possible dépassement de pile lors de l'affichage d'un nom de fichier dans bsdtar_expand_char() de util.c.

• CVE-2016-8688

  Agostino Sarubbo de Gentoo a découvert une possible lecture hors limites lors de l'analyse de longues lignes multiples dans bid_entry() et detect_form() d'archive_read_support_format_mtree.c.

• CVE-2016-8689

  Agostino Sarubbo de Gentoo a découvert un possible dépassement de tas lors de la lecture de fichiers 7z corrompus dans read_Header() d'archive_read_support_format_7zip.c.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.0.4-3+wheezy5.

Nous vous recommandons de mettre à jour vos paquets libarchive.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.