Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- unarj pour Gentoo version 2.63a-r1 et versions antérieures ;
- unarj pour FreeBSD version 2.43_1 et versions antérieures ;
- unarj pour Debian en version antérieure à 2.43-3woody1.
Résumé
Deux vulnérabilités dans unarj permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
unarj est un outil de décompression d'archives au format ARJ.Deux vulnérabilités sont présentes dans unarj : une vulnérabilité de type débordement de mémoire et une vulnérabilité de type traversée de répertoire.
Ces vulnérabilités peuvent être exploitées par un utilisateur mal intentionné afin d'exécuter du code arbitraire sur la plate-forme vulnérable.
Solution
La version 2.63a-r2 de unarj pour Gentoo corrige cette vulnérabilité.
La version 2.43_2 de unarj pour FreeBSD corrige cette vulnérabilité.
Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.
Documentation
- Site Internet de unarj :
http://www.arjsoftware.com
- Bulletin de sécurité Gentoo GLSA 200411-29 du 19 novembre 2004 :
http://www.gentoo.org/security/en/glsa/glsa-200411-29.xml
- Bulletin de sécurité FreeBSD pour unarj du 26 novembre 2004 :
http://www.vuxml.org/freebsd/
- Bulletin de sécurité Debian du 21 janvier 2005 :
http://www.debian.org/security/2005/dsa-652
- Référence CVE CAN-2004-0947 :
https://www.cve.org/CVERecord?id=CAN-2004-0947
- Référence CVE CAN-2004-1027 :
https://www.cve.org/CVERecord?id=CAN-2004-1027