Debian-Sicherheitsankündigung

DSA-652-1 unarj -- Mehrere Verwundbarkeiten

Datum des Berichts:
21. Jan 2005
Betroffene Pakete:
unarj
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 281922.
In Mitres CVE-Verzeichnis: CVE-2004-0947, CVE-2004-1027.
Weitere Informationen:

Mehrere Verwundbarkeiten wurden in unarj entdeckt, einem nicht freien Entpackwerkzeug für ARJ-Archive. Das »Common Vulnerabilities and Exposures Project« legt die folgenden Verwundbarkeiten fest:

  • CAN-2004-0947

    Ein Pufferüberlauf wurde bei der Bearbeitung von langen Dateinamen innerhalb eines Archivs entdeckt. Ein Angreifer kann ein speziell präpariertes Archiv erstellen, welches unarj zum Absturz bringt oder möglicherweise beliebigen Code ausführt, wenn es von einem Opfer ausgepackt wird.

  • CAN-2004-1027

    Eine Verwundbarkeit wurde gefunden, die einem Angreifer ermöglicht, ein speziell präpariertes Archiv zu erstellen, welches Verzeichnisse überschreitet. Wenn ein Opfer ein solches Archiv auspackt, werden Dateien im übergeordneten Verzeichnis erstellt. Durch rekursive Verwendung kann diese Verwundbarkeit benutzt werden, um kritische Systemdateien und -programme zu überschreiben.

Für die Stable-Distribution (Woody) wurden diese Probleme in Version 2.43-3woody1 behoben.

Die Unstable-Distribution (Sid) ist von diesen Problemen nicht betroffen, da Unstable/Non-Free das unarj-Paket nicht enthält.

Wir empfehlen Ihnen, Ihr unarj-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.dsc
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.diff.gz
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_alpha.deb
ARM:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.