2016-0800: 7-Zip: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-05-18 18:38)

Neues Advisory

Version 2 (2016-06-01 17:32)

Für openSUSE 13.2 steht ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle CVE-2016-2335 bereit.

Version 3 (2016-07-19 11:42)

Für Fedora 22, 23 und 24 sowie Fedora EPEL 7 stehen Sicherheitsupdates für p7zip auf die Version 16.02 im Status 'testing' zur Verfügung. Das in Form des Paketes p7zip-16.02-1.el6 bereitgestellte Sicherheitsupdate für Fedora EPEL 6 befindet sich noch im Status 'pending'.

Betroffene Software

Datensicherung
Systemsoftware

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in dem Kompressionsprogramm 7-Zip ermöglichen auch einem entfernten, nicht authentifizierten Angreifer, durch die Manipulation von UDF-Daten, das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes und die Durchführung eines Denial-of-Service (DoS)-Angriffs.

Der Hersteller behebt die Schwachstelle in der 7-Zip Version 16.00. Die Bibliothek kommt allerdings in vielen anderen Programmen (auch in Sicherheitssoftware) zum Einsatz; Details über deren Betroffenheit und bezüglich der Verfügbarkeit von Sicherheitsupdates liegen derzeit nicht vor.

Schwachstellen:

CVE-2016-2334

Schwachstelle in 7-Zip ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-2335

Schwachstelle in 7-Zip ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.