Säkerhetsbulletin från Debian

DSA-4104-1 p7zip -- säkerhetsuppdatering

Rapporterat den:
2018-02-04
Berörda paket:
p7zip
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 888297.
I Mitres CVE-förteckning: CVE-2017-17969.
Ytterligare information:

'landave' upptäckte ett heap-baserat buffertspill i metoden NCompress::NShrink::CDecoder::CodeReal i p7zip, en filarkiverare för 7zr med hög kompressionsratio. En fjärrangripare kan dra fördel av denna brist för att orsaka en överbelastning eller möjligen exekvering av godtycklig kod med samma rättigheter som användaren som kör p7zip, om ett speciellt skapat krympt ZIP-arkiv behandlas.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 9.20.1~dfsg.1-4.1+deb8u3.

För den stabila utgåvan (Stretch) har detta problem rättats i version 16.02+dfsg-3+deb9u1.

Vi rekommenderar att ni uppgraderar era p7zip-paket.

För detaljerad säkerhetsstatus om p7zip vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/p7zip