Debians sikkerhedsbulletin
DSA-3386-1 unzip -- sikkerhedsopdatering
- Rapporteret den:
- 31. okt 2015
- Berørte pakker:
- unzip
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 802160, Fejl 802162.
I Mitres CVE-ordbog: CVE-2015-7696, CVE-2015-7697. - Yderligere oplysninger:
-
To sårbarheder er fundet i unzip, et arkivudpakningsprogram til .zip-filer. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-7696
Gustavo Grieco opdagede at unzip håndterede visse adgangskodebeskyttede arkiver på ukorrekt vis. Hvis en bruger eller automatisk system blev narret til at behandle et særligt fremstillet zip-arkiv, kunne en angriber muligvis udføre vilkårlig kode.
- CVE-2015-7697
Gustavo Grieco opdagede at unzip behandlede visse misdannede arkiver på ukorrekt vis. Hvis en bruger eller automatisk system blev narret til at behandle et særligt fremstillet zip-arkiv, kunne en angriber muligvis få unzip til at hænge, medførende et lammelsesangreb (denial of service).
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 6.0-8+deb7u4.
I den stabile distribution (jessie), er disse problemer rettet i version 6.0-16+deb8u1.
I distributionen testing (stretch), er disse problemer rettet i version 6.0-19.
I den ustabile distribution (sid), er disse problemer rettet i version 6.0-19.
Vi anbefaler at du opgraderer dine unzip-pakker.
- CVE-2015-7696