Bulletin d'alerte Debian

DLA-2567-1 unrar-free -- Mise à jour de sécurité pour LTS

Date du rapport :
18 février 2021
Paquets concernés :
unrar-free
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-14120, CVE-2017-14121, CVE-2017-14122.
Plus de précisions :

Plusieurs problèmes ont été découverts dans unrar-free, un extracteur de fichiers .rar.

  • CVE-2017-14120

    Ce CVE est relatif à une vulnérabilité de traversée de répertoires pour les archives RAR version 2.

  • CVE-2017-14121

    Ce CVE est relatif à un défaut de déréférencement de pointeur NULL déclenché par une archive RAR contrefaite pour l'occasion.

  • CVE-2017-14122

    Ce CVE est relatif à une lecture hors limites de tampon de pile.

    Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:0.0.1+cvs20140707-1+deb9u1.

    Nous vous recommandons de mettre à jour vos paquets unrar-free.

    Pour disposer d'un état détaillé sur la sécurité de unrar-free, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/unrar-free.

    Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.