2014-1721: Unzip: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2014-12-29 15:45)

Neues Advisory

Version 2 (2015-01-13 19:34)

Für SUSE Linux Enterprise Server 12 und Desktop 12 werden Sicherheitsupdates bereitgestellt.

Version 3 (2015-01-15 12:31)

Canonical stellt für die Distributionen Ubuntu 14.10, Ubuntu 14.04 LTS, Ubuntu 12.04 LTS und Ubuntu 10.04 LTS Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Version 4 (2015-01-19 16:45)

Für die SUSE Linux Enterprise 11 SP3 Produkte Server, Server für VMware und Desktop stehen Sicherheitsupdates bereit.

Version 5 (2015-02-09 18:31)

OpenSUSE stellt für die Distributionen openSUSE 13.1 und openSUSE 13.2 Sicherheitsupdates zur Verfügung.

Version 6 (2015-02-16 15:17)

Fedora stellt für die Distributionen Fedora 20 und 21 Sicherheitsupdates in Form der Pakete unzip-6.0-17.fc20 (im Status "testing"), bzw. unzip-6.0-20.fc21 (im Status "stable"), zur Verfügung, die auch die Schwachstelle CVE-2014-9636 beheben.

Version 7 (2015-02-26 15:14)

Für SUSE Linux Enterprise Server 11 SP3 for VMware, SUSE Linux Enterprise Server 11 SP3 und SUSE Linux Enterprise Desktop 11 SP3 werden Sicherheitsupdates bereitgestellt, die die Schwachstellen CVE-2014-8139 und CVE-2014-9636 beheben.

Version 8 (2015-03-19 12:36)

Für die Varianten Desktop, HPC Node, Server und Workstation von Red Hat Enterprise Linux 6 und 7 werden Sicherheitsupdates in der Form aktualisierter Pakete von Unzip zur Verfügung gestellt, um diese Schwachstellen zu beheben.

Version 9 (2015-04-22 18:11)

F5 Networks teilt mit, welche Produkte und Versionen von diesen Schwachstellen betroffen sind, z. B. sind alle untersuchten Versionen von BIG-IP Protocol Security Module (PSM) verwundbar. Die Schwachstelle CVE-2014-9636 wird nicht benannt.

Betroffene Software

Datensicherung
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
F5
Linux

Beschreibung:

Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer Denial-of-Service (DoS)- und weitere, nicht näher spezifizierte Angriffe durchführen, in deren Folge auch das Ausführen beliebigen Programmcodes möglich sein könnte. Die Schwachstellen betreffen alle Versionen von Unzip bis einschließlich Version 6.0. Debian stellt für die stabile Distribution Wheezy einen Upstream-Patch unzip/6.0-13 zur Verfügung, um diese Schwachstellen zu beheben.

Schwachstellen:

CVE-2014-8139

Heap-Buffer-Overflow-Schwachstelle in Unzip CRC32-Verifikationsfunktion

CVE-2014-8140

Heap-Buffer-Overflow-Schwachstelle in Unzip test_compr_eb()-Funktion

CVE-2014-8141

Out-of-bounds-Read-Schwachstelle in Unzip getZip64Data()-Funktion

CVE-2014-9636

Schwachstelle in Unzip ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.