Информация по безопасности / 2016 / Информация о безопасности -- DSA-3676-1 unadf

Рекомендация Debian по безопасности

DSA-3676-1 unadf -- обновление безопасности

Дата сообщения:

24.09.2016

Затронутые пакеты:

unadf

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 838248.
В каталоге Mitre CVE: CVE-2016-1243, CVE-2016-1244.

Более подробная информация:

Туомас Рясянен обнаружил две уязвимости в unADF, инструменте для распаковки файлов из дампа Amiga Disk File (.adf):

• CVE-2016-1243

  Переполнение буфера в функции extractTree() может позволить злоумышленнику, имеющему контроль над содержимым ADF-файла, выполнить произвольный код с правами пользователя, запустившего программу.

• CVE-2016-1244

  Распаковщик unADF создаёт путь в целевом каталоге с помощью mkdir в вызове system(). Поскольку очистка входных данных для имён файлов не выполняется, злоумышленник может напрямую вводить код в имена пути заархивированных каталогов в ADF-файле.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.7.11a-3+deb7u1.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 0.7.11a-3+deb8u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 0.7.11a-4.

Рекомендуется обновить пакеты unadf.