• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3676-1 unadf -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3676-1 unadf -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
unadf (any)
Описание
Туомас Рясянен обнаружил две уязвимости в unADF, инструменте для распаковки
файлов из дампа Amiga Disk File (.adf):

CVE-2016-1243
Переполнение буфера в функции extractTree() может позволить
    злоумышленнику, имеющему контроль над содержимым ADF-файла, выполнить
    произвольный код с правами програ пользователя, запустившего программу.
CVE-2016-1244
Распаковщик unADF создаёт путь в целевом каталоге с помощью mkdir
    в вызове system(). Поскольку очистка входных данных для имён файлов не
    выполняется, злоумышленник может напрямую вводить код в имена пути
    заархивированных каталогов в ADF-файле.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 0.7.11a-3+deb7u1.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 0.7.11a-3+deb8u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 0.7.11a-4.
Рекомендуется обновить пакеты unadf.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
unadf - 0.7.11a-3+deb8u1
Ссылки
http://www.debian.org/security/dsa-3676/

Источник: CVE
Наименование: CVE-2016-1243
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1243

Источник: CVE
Наименование: CVE-2016-1244
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1244