Debians sikkerhedsbulletin
DSA-3676-1 unadf -- sikkerhedsopdatering
- Rapporteret den:
- 24. sep 2016
- Berørte pakker:
- unadf
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 838248.
I Mitres CVE-ordbog: CVE-2016-1243, CVE-2016-1244. - Yderligere oplysninger:
-
Tuomas Räsänen opdagede to sårbarheder i unADF, et værktøj til udtrækning af filer fra Amiga Disk File-dump (.adf):
- CVE-2016-1243
Et stakbufferoverløb i funktionen extractTree(), kunne gøre det muligt for en angriber, med kontrol over indholdet af ADF-filen, at udføre vilkårlig kode med rettighederne hørende til det udførte program.
- CVE-2016-1244
unADF-udtrækkeren opretter målstien ved hjælp af mkdir i et system()-kald. Da der ikke var nogen fornuftighedskontrol af inddatafilnavnene, kunne en angriber indsprøjte kode direkte ind i arkiverede mappers stinavne i en ADF-fil.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 0.7.11a-3+deb7u1.
I den stabile distribution (jessie), er disse problemer rettet i version 0.7.11a-3+deb8u1.
I den ustabile distribution (sid), er disse problemer rettet i version 0.7.11a-4.
Vi anbefaler at du opgraderer dine unadf-pakker.
- CVE-2016-1243