Debian-Sicherheitsankündigung
DSA-652-1 unarj -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 21. Jan 2005
- Betroffene Pakete:
- unarj
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 281922.
In Mitres CVE-Verzeichnis: CVE-2004-0947, CVE-2004-1027. - Weitere Informationen:
-
Mehrere Verwundbarkeiten wurden in unarj entdeckt, einem nicht freien Entpackwerkzeug für ARJ-Archive. Das »Common Vulnerabilities and Exposures Project« legt die folgenden Verwundbarkeiten fest:
- CAN-2004-0947
Ein Pufferüberlauf wurde bei der Bearbeitung von langen Dateinamen innerhalb eines Archivs entdeckt. Ein Angreifer kann ein speziell präpariertes Archiv erstellen, welches unarj zum Absturz bringt oder möglicherweise beliebigen Code ausführt, wenn es von einem Opfer ausgepackt wird.
- CAN-2004-1027
Eine Verwundbarkeit wurde gefunden, die einem Angreifer ermöglicht, ein speziell präpariertes Archiv zu erstellen, welches Verzeichnisse überschreitet. Wenn ein Opfer ein solches Archiv auspackt, werden Dateien im übergeordneten Verzeichnis erstellt. Durch rekursive Verwendung kann diese Verwundbarkeit benutzt werden, um kritische Systemdateien und -programme zu überschreiben.
Für die Stable-Distribution (Woody) wurden diese Probleme in Version 2.43-3woody1 behoben.
Die Unstable-Distribution (Sid) ist von diesen Problemen nicht betroffen, da Unstable/Non-Free das unarj-Paket nicht enthält.
Wir empfehlen Ihnen, Ihr unarj-Paket zu aktualisieren.
- CAN-2004-0947
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.dsc
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.diff.gz
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43.orig.tar.gz
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.