Otkrivena dva propusta paketa libzip

Otkrivena su dva sigurnosna propusta u radu programskog paketa libzip, za operacijski sustav Fedora 17. Udaljeni, zlonamjerni korisnici ih mogu iskoristiti za izvođenje DoS napada i proizvoljno izvršavanje programskog koda.

Paket:	libzip 0.x
Operacijski sustavi:	Fedora 17
Kritičnost:	3.8
Problem:	cjelobrojno prepisivanje, pogreška u programskoj komponenti
Iskorištavanje:	udaljeno
Posljedica:	proizvoljno izvršavanje programskog koda, uskraćivanje usluga (DoS)
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2012-1162, CVE-2012-1163
Izvorni ID preporuke:	FEDORA-2012-4485
Izvor:	Fedora

Problem:
Propusti su uzrokovani pogreškom i prepisivanjem cjelobrojne varijable u funkciji "_zip_readcdir()".
Posljedica:
Napadačima omogućuju izvođenje DoS napada i pokretanje proizvoljnog programskog koda.
Rješenje:
Korisnicima se preporuča instalacija odgovarajuće nadogradnje.

Izvorni tekst preporuke

--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2012-4485
2012-03-23 00:33:30
--------------------------------------------------------------------------------

Name        : libzip
Product     : Fedora 17
Version     : 0.10.1
Release     : 1.fc17
URL         : http://www.nih.at/libzip/index.html
Summary     : C library for reading, creating, and modifying zip archives
Description :
libzip is a C library for reading, creating, and modifying zip archives. Files
can be added from data buffers, files, or compressed data copied directly from
other zip archives. Changes made without closing the archive can be reverted.
The API is documented by man pages.

--------------------------------------------------------------------------------
Update Information:

Upstream changelog:
* Fixed CVE-2012-1162
* Fixed CVE-2012-1163
--------------------------------------------------------------------------------
References:

  [ 1 ] Bug #802564 - CVE-2012-1162 libzip: heap overflow flaw when processing
malformed zip file
        https://bugzilla.redhat.com/show_bug.cgi?id=802564
  [ 2 ] Bug #803028 - CVE-2012-1163 libzip: integer overflow when processing
malformed zip file
        https://bugzilla.redhat.com/show_bug.cgi?id=803028
--------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update libzip' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
--------------------------------------------------------------------------------
_______________________________________________
package-announce mailing list
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
https://admin.fedoraproject.org/mailman/listinfo/package-announce

Otkrivena dva propusta paketa libzip

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Otkrivena dva propusta paketa libzip

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti