Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • unarj pour Gentoo version 2.63a-r1 et versions antérieures ;
  • unarj pour FreeBSD version 2.43_1 et versions antérieures ;
  • unarj pour Debian en version antérieure à 2.43-3woody1.

Résumé

Deux vulnérabilités dans unarj permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

unarj est un outil de décompression d'archives au format ARJ.
Deux vulnérabilités sont présentes dans unarj : une vulnérabilité de type débordement de mémoire et une vulnérabilité de type traversée de répertoire.
Ces vulnérabilités peuvent être exploitées par un utilisateur mal intentionné afin d'exécuter du code arbitraire sur la plate-forme vulnérable.

Solution

La version 2.63a-r2 de unarj pour Gentoo corrige cette vulnérabilité.
La version 2.43_2 de unarj pour FreeBSD corrige cette vulnérabilité.
Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.

Documentation