GLSA 200409-13: LHa: Multiple vulnerabilities
| Опасность: | средняя |
| Заголовок: | LHa: Multiple vulnerabilities |
| Дата: | 08.09.2004 |
| Ошибки: | |
| ID: | 200409-13 |
Сводка
Several buffer overflows and a shell metacharacter command execution vulnerability have been found in LHa. These vulnerabilities can be used to execute arbitrary code.Назначение
LHa is a console-based program for packing and unpacking LHarc archives.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| app-arch/lha | 114i-r3 | >= 114i-r4 | All supported architectures |
Описание
The command line argument as well as the archive parsing code of LHa lack sufficient bounds checking. Furthermore, a shell meta character command execution vulnerability exists in LHa, since it does no proper filtering on directory names.
Воздействие
Using a specially crafted command line argument or archive, an attacker can cause a buffer overflow and could possibly run arbitrary code. The shell meta character command execution could lead to the execution of arbitrary commands by an attacker using directories containing shell meta characters in their names.
Обход
There is no known workaround at this time.
Решение
All LHa users should upgrade to the latest stable version:
# emerge sync
# emerge -pv ">=app-arch/lha-114i-r4"
# emerge ">=app-arch/lha-114i-r4"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.