Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
unzip
(any)
Описание
В функции test_compr_eb() была обнаружена уязвимость, позволяющая осуществлять чтение и
запись за пределами выделенной памяти. При помощи специально сформированного
архива ZIP злоумышленник может вызвать переполнение динамической памяти, приводящее
к аварийному завершению приложения, либо к какому-либо другому неизвестному воздействию на систему.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 6.0-8+deb7u2. Кроме того, данное обновление исправляет проблему,
возникшую из-за некорректного исправления CVE-2014-8139, которая вызвала регресс,
проявляющийся при обработке исполняемых файлах jar.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 6.0-15. Указанное выше некорректное исправление CVE-2014-8139 было
исправлено в версии 6.0-16.
Рекомендуется обновить пакеты unzip.
запись за пределами выделенной памяти. При помощи специально сформированного
архива ZIP злоумышленник может вызвать переполнение динамической памяти, приводящее
к аварийному завершению приложения, либо к какому-либо другому неизвестному воздействию на систему.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 6.0-8+deb7u2. Кроме того, данное обновление исправляет проблему,
возникшую из-за некорректного исправления CVE-2014-8139, которая вызвала регресс,
проявляющийся при обработке исполняемых файлах jar.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 6.0-15. Указанное выше некорректное исправление CVE-2014-8139 было
исправлено в версии 6.0-16.
Рекомендуется обновить пакеты unzip.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
unzip - 6.0-8+deb7u2
Debian GNU/Linux 7:
noarch:
unzip - 6.0-8+deb7u2
Ссылки
http://www.debian.org/security/dsa-3152/
Источник: CVE
Наименование: CVE-2014-9636
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9636
Источник: CVE
Наименование: CVE-2014-9636
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9636