Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
- libarchive 1.x ;
- libarchive 2.x.
Résumé
Une vulnérabilité dans la vulnérabilité libarchive permet à un utilisateur distant de provoquer un déni de service ou potentiellement d'exécuter du code arbitraire.
Description
Une vulnérabilité dans la bibliothèque de fonctions libarchive a été
identifiée. Cette bibliothèque est, en particulier, utilisée par la
commande d'archivage tar. Un utilisateur distant malintentionné peut
ainsi provoquer un arrêt de l'application vulnérable ou exécuter du code
arbitraire via une archive de type tar particulière.
NB : un simple listage (tar -t) de l'archive
suffit pour exploiter la vulnérabilité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité FreeBSD SA-07:05.libarchive du 12 juillet 2007 : ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-07:05.libarchive.asc
- Bulletin de sécurité Gentoo GLSA-200708-03 du 08 août 2007 : http://www.gentoo.org/security/en/glsa/glsa-200708-03.xml
- Bulletin de sécurité SuSE SUSE-SR:2007:015 du 03 août 2007 : http://lists.opensuse.org/opensuse-security-announce/2007-08/msg00003.htm
- Référence CVE CVE-2007-3641 https://www.cve.org/CVERecord?id=CVE-2007-3641
- Référence CVE CVE-2007-3644 https://www.cve.org/CVERecord?id=CVE-2007-3644
- Référence CVE CVE-2007-3645 https://www.cve.org/CVERecord?id=CVE-2007-3645