Bulletin d'alerte Debian
DLA-661-1 libarchive -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 17 octobre 2016
- Paquets concernés :
- libarchive
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 840934, Bogue 840935, Bogue 840936.
Dans le dictionnaire CVE du Mitre : CVE-2016-8687, CVE-2016-8688, CVE-2016-8689. - Plus de précisions :
-
Agostino Sarubbo de Gentoo a découvert plusieurs vulnérabilités de sécurité dans libarchive, une bibliothèque d'archive et de compression multi-format. Un attaquant pourrait tirer avantage de ces défauts pour provoquer un dépassement de tampon ou une lecture hors limites en utilisant un fichier d'entrée soigneusement contrefait.
- CVE-2016-8687
Agostino Sarubbo de Gentoo a découvert un possible dépassement de pile lors de l'affichage d'un nom de fichier dans bsdtar_expand_char() de util.c.
- CVE-2016-8688
Agostino Sarubbo de Gentoo a découvert une possible lecture hors limites lors de l'analyse de longues lignes multiples dans bid_entry() et detect_form() d'archive_read_support_format_mtree.c.
- CVE-2016-8689
Agostino Sarubbo de Gentoo a découvert un possible dépassement de tas lors de la lecture de fichiers 7z corrompus dans read_Header() d'archive_read_support_format_7zip.c.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 3.0.4-3+wheezy5.Nous vous recommandons de mettre à jour vos paquets libarchive.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2016-8687