Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4104-1 p7zip

Debians sikkerhedsbulletin

DSA-4104-1 p7zip -- sikkerhedsopdatering

Rapporteret den:

4. feb 2018

Berørte pakker:

p7zip

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 888297.
I Mitres CVE-ordbog: CVE-2017-17969.

Yderligere oplysninger:

landave opdagede en heapbaseret bufferoverløbssårbarhed i metoden NCompress::NShrink::CDecoder::CodeReal i p7zip, et 7zr-filarkiveringsprogram med en høj komprimeringsgrad. En fjernangriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb eller potentielt udførelse af vilkårlig kode under rettighederne hørende til den bruger, der kører p7zip, hvis et særligt fremstillet skrumpet ZIP-arkiv behandles.

I den gamle stabile distribution (jessie), er dette problem rettet i version 9.20.1~dfsg.1-4.1+deb8u3.

I den stabile distribution (stretch), er dette problem rettet i version 16.02+dfsg-3+deb9u1.

Vi anbefaler at du opgraderer dine p7zip-pakker.

For detaljeret sikkerhedsstatus vedrørende p7zip, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/p7zip