S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 22 novembre 2004
N° CERTA-2004-AVI-373
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de unarj

Gestion du document

Référence CERTA-2004-AVI-373
Titre Vulnérabilité de unarj
Date de la première version22 novembre 2004
Date de la dernière version25 janvier 2005
Source(s) Bulletin de sécurité Gentoo GLSA 200411-29 du 19 novembre 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • unarj pour Debian en version antérieure à 2.43-3woody1.
  • unarj pour FreeBSD version 2.43_1 et versions antérieures ;
  • unarj pour Gentoo version 2.63a-r1 et versions antérieures ;

Résumé

Deux vulnérabilités dans unarj permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

unarj est un outil de décompression d'archives au format ARJ.
Deux vulnérabilités sont présentes dans unarj : une vulnérabilité de type débordement de mémoire et une vulnérabilité de type traversée de répertoire.
Ces vulnérabilités peuvent être exploitées par un utilisateur mal intentionné afin d'exécuter du code arbitraire sur la plate-forme vulnérable.

Solution

La version 2.63a-r2 de unarj pour Gentoo corrige cette vulnérabilité.
La version 2.43_2 de unarj pour FreeBSD corrige cette vulnérabilité.
Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.

Documentation

Gestion détaillée du document

    le 22 novembre 2004
    version initiale.
    le 29 novembre 2004
    ajout de la référence au bulletin de sécurité FreeBSD.
    le 25 janvier 2005
    ajout de la référence au bulletin de sécurité Debian.