Рекомендация Debian по безопасности
DSA-3113-1 unzip -- обновление безопасности
- Дата сообщения:
- 28.12.2014
- Затронутые пакеты:
- unzip
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 773722.
В каталоге Mitre CVE: CVE-2014-8139, CVE-2014-8140, CVE-2014-8141. - Более подробная информация:
-
Мишель Спагнуоло из Google Security Team обнаружил, что unzip, утилита для распаковки архивов в формате .zip, содержит переполнение динамической памяти в функции проверки CRC32 (CVE-2014-8139), функции test_compr_eb() (CVE-2014-8140) и функции getZip64Data() (CVE-2014-8141), что может приводить к выполнению произвольного кода.
В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 6.0-8+deb7u1.
В готовящемся стабильном выпуске (jessie) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 6.0-13.
Рекомендуется обновить пакеты unzip.