Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Unzip 5.52 et versions antérieures.
Résumé
Une vulnérabilité dans l'utilitaire de décompression unzip permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
Unzip est un utilitaire de décompression d'archives.
Une vulnérabilité dans l'interprétation de noms de certains fichiers
longs permet à un utilisateur mal intentionné d'exécuter du code
arbitraire à distance sur la plate-forme vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-1012 du 21 mars 2006 : http://www.debian.org/security/2006/dsa-1012
- Bulletin de sécurité Mandriva MDKSA-2006:050 du 27 février 2006 : http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:050
- Bulletins de sécurité Ubuntu USN-248-1 et USN-248-2 du 15 février 2006 : http://www.ubuntu.com/usn/usn-248-1
- Bulletins de sécurité Ubuntu USN-248-1 et USN-248-2 du 15 février 2006 : http://www.ubuntu.com/usn/usn-248-2
- Site Internet de unzip : http://www.info-zip.org/pub/infozip/UnZip.html
- Référence CVE CVE-2005-4667 https://www.cve.org/CVERecord?id=CVE-2005-4667