Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

Les versions de la bibliothèque ZZIPlib antérieures à la 0.13.49.

Description

Une vulnérabilité a été identifiée dans la bilbiothèque ZZIPlib. Cette dernière fournit un accès en lecture pour les archives de type ZIP. Une erreur dans la fonction zzip_open_shared_io qui est mise en œuvre dans le fichier zzip/file.c permettrait à une personne malveillante de perturber le système vulnérable, voire exécuter des commandes arbitraires. De manière plus précise, un appel à la fonction strcpy ne serait pas correctement contrôlé, et la manipulation d'un nom de fichier trop long pourrait ainsi provoquer un débordement de tampon.

Solution

Se référer au bulletin de mise à jour du projet pour l'obtention des correctifs (cf. section Documentation).

Documentation