S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 avril 2004
N° CERTA-2004-AVI-147-005
Affaire suivie par: CERT-FR
le 30 avril 2004

Avis du CERT-FR

Objet: Vulnérabilité de LHA

Gestion du document

Référence CERTA-2004-AVI-147-005
Titre Vulnérabilité de LHA
Date de la première version 30 avril 2004
Date de la dernière version 09 juin 2004
Source(s) Avis de sécurité RedHat RHSA-2004:179
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Création de fichiers arbitraires ;
  • exécution de code arbitraire à distance.

Systèmes affectés

Toutes les versions de LHA.

Résumé

Plusieurs vulnérabilités dans LHA permettent à un utilisateur mal intentionné de créer des fichiers arbitraires ou d'exécuter du code arbitraire à distance.

Description

LHA est un utilitaire d'archivage et de compression pour les archives au format LHarc. Plusieurs vulnérabilités ont été découvertes :

  • Deux vulnérabilités de type débordement de mémoire (CAN-2004-234) ;
  • deux vulnérabilités de type traversée de répertoire (CAN-2004-235).
Ces vulnérabilités permettent à un utilisateur mal intentionné, à l'aide d'une archive LHarc habilement constituée, de créer des fichiers arbitraires ou d'exécuter du code arbitraire à distance sur la machine victime.

Solution

Se référer à la section Documentation pour l'obtention des correctifs.

Documentation

Gestion détaillée du document

    le 30 avril 2004
    version initiale.
    le 10 mai 2004
    ajout de la référence au bulletin de sécurité Gentoo.
    le 12 mai 2004
    ajout des références aux bulletins de sécurité FreeBSD, OpenBSD et NetBSD.
    le 08 juin 2004
    ajout de la référence au bulletin de sécurité Debian.
    le 09 juin 2004
    ajout de la référence au bulletin de sécurité SUSE.