Debians sikkerhedsbulletin

DSA-652-1 unarj -- flere sårbarheder

Rapporteret den:
21. jan 2005
Berørte pakker:
unarj
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 281922.
I Mitres CVE-ordbog: CVE-2004-0947, CVE-2004-1027.
Yderligere oplysninger:

Flere sårbarheder er opdaget i unarj, et ikke-frit værktøj til udpakning af ARJ-filer. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende sårbarheder:

  • CAN-2004-0947

    Et bufferoverløb er opdaget i forbindelse med håndtering af lange filnavne indeholdt i et arkiv. En angriber kunne fremstille et særligt arkiv, der kunne få unarj til at gå ned eller muligvis udføre vilkårlig kode når arkivet blev udpakket af et offer.

  • CAN-2004-1027

    En genneløb af mapper-sårbarhed er opdaget, den gjorde det muligt for en angriber at fremstille et sårligt arkiv, der når et offer udpakkede det, kunne oprette filer i mappen på det overliggende niveau. Ved rekursiv anvendelse kunne denne sårbarhed anvendes til at overskrive kritiske systemfiler og -programmer.

I den stabile distribution (woody) er disse problemer rettet i version 2.43-3woody1.

I den ustabile distribution (sid) findes disse problemer ikke, da unstable/non-free ikke indeholder unarj-pakken.

Vi anbefaler at du opgraderer din unarj-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.dsc
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.diff.gz
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.