GLSA 200411-29: unarj: Long filenames buffer overflow and a path traversal vulnerability

Опасность:	средняя
Заголовок:	unarj: Long filenames buffer overflow and a path traversal vulnerability
Дата:	19.11.2004
Ошибки:	#70966
ID:	200411-29

Сводка

unarj contains a buffer overflow and a directory traversal vulnerability. This could lead to overwriting of arbitrary files or the execution of arbitrary code.

Назначение

unarj is an ARJ archive decompressor.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
app-arch/unarj	< 2.63a-r2	>= 2.63a-r2	All supported architectures

Описание

unarj has a bounds checking vulnerability within the handling of long filenames in archives. It also fails to properly sanitize paths when extracting an archive (if the "x" option is used to preserve paths).

Воздействие

An attacker could trigger a buffer overflow or a path traversal by enticing a user to open an archive containing specially-crafted path names, potentially resulting in the overwrite of files or execution of arbitrary code with the permissions of the user running unarj.

Обход

There is no known workaround at this time.

Решение

All unarj users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=app-arch/unarj-2.63a-r2"

Ссылки

• CAN-2004-0947
• CAN-2004-1027

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200411-29.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.