Risques

  • Création de fichiers arbitraires
  • Exécution de code arbitraire à distance

Systèmes affectés

Toutes les versions de LHA.

Résumé

Plusieurs vulnérabilités dans LHA permettent à un utilisateur mal intentionné de créer des fichiers arbitraires ou d'exécuter du code arbitraire à distance.

Description

LHA est un utilitaire d'archivage et de compression pour les archives au format LHarc. Plusieurs vulnérabilités ont été découvertes :

  • Deux vulnérabilités de type débordement de mémoire (CAN-2004-234) ;
  • deux vulnérabilités de type traversée de répertoire (CAN-2004-235).

Ces vulnérabilités permettent à un utilisateur mal intentionné, à l'aide d'une archive LHarc habilement constituée, de créer des fichiers arbitraires ou d'exécuter du code arbitraire à distance sur la machine victime.

Solution

Se référer à la section Documentation pour l'obtention des correctifs.

Documentation