Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3178-1 unace

Säkerhetsbulletin från Debian

DSA-3178-1 unace -- säkerhetsuppdatering

Rapporterat den:

2015-03-02

Berörda paket:

unace

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 775003.
I Mitres CVE-förteckning: CVE-2015-2063.

Ytterligare information:

Jakub Wilk upptäckte att unace, ett verktyg för att extrahera, testa och visa .ace-arkiv innehöll ett heltalsspill vilket leder till buffertspill. Om en användare eller ett automatiserat system luras till att behandla ett speciellt skapat ace-arkiv, kunde en angripare orsaka en överbelastning (applikationskrasch) eller möjligen köra godtycklig kod.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.2b-10+deb7u1.

För den kommande stabila utgåvan (Jessie) har detta problem rättats i version 1.2b-12.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.2b-12.

Vi rekommenderar att ni uppgraderar era unace-paket.