GLSA 202504-01: XZ Utils: Use after free
| Опасность: | средняя |
| Заголовок: | XZ Utils: Use after free |
| Дата: | 05.04.2025 |
| Ошибки: | |
| ID: | 202504-01 |
Сводка
A vulnerability has been discovered in XZ Utils, which could lead to denial of service.Назначение
XZ Utils is free general-purpose data compression software with a high compression ratio.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| app-arch/xz-utils | < 5.6.4-r1 | >= 5.6.4-r1 | All supported architectures |
Описание
A use-after-free has been discovered in XZ utils. Please review the CVE identifier referenced below for details.
Воздействие
The multithreaded .xz decoder in liblzma has a bug where invalid input can at least result in a crash. The effects include heap use after free and writing to an address based on the null pointer plus an offset. Applications and libraries that use the lzma_stream_decoder_mt function are affected. It's unlikely one can achieve more than a crash if xz is built with PIE on a 64-bit system especially, as is done in Gentoo by default.
Обход
There is no known workaround at this time.
Решение
All XZ utils users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=app-arch/xz-utils-5.6.4-r1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.