Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3676-1 unadf

Säkerhetsbulletin från Debian

DSA-3676-1 unadf -- säkerhetsuppdatering

Rapporterat den:

2016-09-24

Berörda paket:

unadf

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 838248.
I Mitres CVE-förteckning: CVE-2016-1243, CVE-2016-1244.

Ytterligare information:

Tuomas Räsänen upptäckte två sårbarheter i unADF, ett verktyg för extrahera filer från en Amiga Disk File dump (.adf):

• CVE-2016-1243

  Ett stackbuffertspill i funktionen extractTree() kan tillåta en angripare, med kontroll över innehållet i en ADF-fil att köra godtycklig kod med samma rättighter som programmet som körs.

• CVE-2016-1244

  unADF-extraheraren skapar sökvägen i destinationen via en mkdir i ett system()-anrop. Eftersom det inte finns någon rengörning av indatan av filnamnen, kan en angripare direkt injicera kod i sökvägarna i arkiverade mappar i en ADF-fil.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 0.7.11a-3+deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 0.7.11a-3+deb8u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 0.7.11a-4.

Vi rekommenderar att ni uppgraderar era unadf-paket.