Bulletin d'alerte Debian

DLA-994-1 zziplib -- Mise à jour de sécurité pour LTS

Date du rapport :
20 juin 2017
Paquets concernés :
zziplib
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-5974, CVE-2017-5975, CVE-2017-5976, CVE-2017-5978, CVE-2017-5979, CVE-2017-5980, CVE-2017-5981.
Plus de précisions :
  • CVE-2017-5974

    Un dépassement de tampon basé sur le tas dans la fonction __zzip_get32 dans fetch.c dans zziplib permet à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier ZIP contrefait.

  • CVE-2017-5975

    Un dépassement de tampon basé sur le tas dans la fonction __zzip_get64 dans fetch.c dans zziplib permet à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier ZIP contrefait.

  • CVE-2017-5976

    Un dépassement de tampon basé sur le tas dans la fonction zzip_mem_entry_extra_block dans memdisk.c dans zziplib permet à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un fichier ZIP contrefait.

  • CVE-2017-5978

    La fonction zzip_mem_entry_new dans memdisk.c dans zziplib permet à des attaquants distants de provoquer un déni de service (lecture hors limites et plantage) à l'aide d'un fichier ZIP contrefait.

  • CVE-2017-5979

    La fonction prescan_entry dans fseeko.c dans zziplib permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage) à l'aide d'un fichier ZIP contrefait.

  • CVE-2017-5980

    La fonction zzip_mem_entry_new dans memdisk.c dans zziplib permet à des attaquants distants de provoquer un déni de service (déréférencement de pointeur NULL et plantage) à l'aide d'un fichier ZIP contrefait.

  • CVE-2017-5981

    La fonction seeko.c dans zziplib permet à des attaquants distants de provoquer un déni de service (échec d’assertion et plantage) à l'aide d'un fichier ZIP contrefait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.13.56-1.1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets zziplib.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.