Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4104-1 p7zip

Aviso de seguridad de Debian

DSA-4104-1 p7zip -- actualización de seguridad

Fecha del informe:

4 de feb de 2018

Paquetes afectados:

p7zip

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 888297.
En el diccionario CVE de Mitre: CVE-2017-17969.

Información adicional:

'landave' descubrió una vulnerabilidad por desbordamiento de memoria dinámica («heap») en el método NCompress::NShrink::CDecoder::CodeReal de p7zip, un archivador de ficheros 7zr con un ratio de compresión elevado. Un atacante remoto puede aprovechar este defecto para provocar denegación de servicio o, potencialmente, ejecución de código arbitrario con los privilegios del usuario que esté ejecutando p7zip, si se procesa un archivo ZIP que haya sido modificado de una forma determinada.

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 9.20.1~dfsg.1-4.1+deb8u3.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 16.02+dfsg-3+deb9u1.

Le recomendamos que actualice los paquetes de p7zip.

Para información detallada sobre el estado de seguridad de p7zip consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/p7zip