Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-652-1 unarj -- Mehrere Verwundbarkeiten

Datum des Berichts:

21. Jan 2005

Betroffene Pakete:

unarj

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 281922.
In Mitres CVE-Verzeichnis: CVE-2004-0947, CVE-2004-1027.

Weitere Informationen:

Mehrere Verwundbarkeiten wurden in unarj entdeckt, einem nicht freien Entpackwerkzeug für ARJ-Archive. Das »Common Vulnerabilities and Exposures Project« legt die folgenden Verwundbarkeiten fest:

• CAN-2004-0947

  Ein Pufferüberlauf wurde bei der Bearbeitung von langen Dateinamen innerhalb eines Archivs entdeckt. Ein Angreifer kann ein speziell präpariertes Archiv erstellen, welches unarj zum Absturz bringt oder möglicherweise beliebigen Code ausführt, wenn es von einem Opfer ausgepackt wird.

• CAN-2004-1027

  Eine Verwundbarkeit wurde gefunden, die einem Angreifer ermöglicht, ein speziell präpariertes Archiv zu erstellen, welches Verzeichnisse überschreitet. Wenn ein Opfer ein solches Archiv auspackt, werden Dateien im übergeordneten Verzeichnis erstellt. Durch rekursive Verwendung kann diese Verwundbarkeit benutzt werden, um kritische Systemdateien und -programme zu überschreiben.

Für die Stable-Distribution (Woody) wurden diese Probleme in Version 2.43-3woody1 behoben.

Die Unstable-Distribution (Sid) ist von diesen Problemen nicht betroffen, da Unstable/Non-Free das unarj-Paket nicht enthält.

Wir empfehlen Ihnen, Ihr unarj-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.dsc

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.diff.gz

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_alpha.deb

ARM:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_ia64.deb

HPPA:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_m68k.deb

PowerPC:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) Português svenska

Wie stellt man die Standardsprache ein