2018-0330: Unzip: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-02-19 13:03)

Neues Advisory

Version 2 (2018-02-27 10:38)

Für Fedora 27 steht ein Sicherheitsupdate in Form des Paketes 'unzip-6.0-37.fc27' im Status 'testing' zur Behebung dieser Schwachstelle bereit.

Version 3 (2020-01-29 11:12)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'unzip' auf Version 6.0-16+deb8u6 bereit, um die Schwachstelle zu beheben.

Betroffene Software

Datensicherung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter Archivdateien beliebigen Programmcode auf dem System eines Anwenders zur Ausführung bringen. Der Anwender muss die Archivdatei dazu auf seinem System entpacken.

Die Schwachstelle betrifft Unzip bis inklusive Version 6.0, wenn bei der Kompilierung bestimmte Compiler-Flags nicht gesetzt werden, durch die bekanntermaßen unsichere Funktionen durch sichere Alternativen ersetzt werden (BOSC, Built-in Object Size Checking). Auf aktuellen Betriebssystemen werden diese Flags üblicherweise gesetzt.

Für SUSE Linux Enterprise Server 11 SP4 steht ein Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2018-1000035

Schwachstelle in Unzip ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.