DFN-CERT-2015-0460 ARJ: Mehrere Schwachstellen ermöglichen die Manipulation von Dateien und Denial-of-Service-Angriffe [Linux][Debian][Fedora]

DFN-CERT-2015-0460 ARJ: Mehrere Schwachstellen ermöglichen die Manipulation von Dateien und Denial-of-Service-Angriffe [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

ARJ <= 3.10.22 Betroffene Plattformen: Debian Linux 7.7 Wheezy Debian Linux 8.0 Jessie Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Mehrere Schwachstellen in ARJ ermöglichen einem entfernten, nicht authentifizierten Angreifer, beliebige Dateien zu manipulieren oder einen Denial-of-Service-Zustand herbeizuführen. Für die Distributionen Debian Wheezy, Debian Jessie, Fedora 20, Fedora 21 und Fedora 22 sowie für Fedora EPEL 5, EPEL 6 und EPEL 7 stehen Sicherheitsupdates zur Verfügung. Patch: Fedora Security Update FEDORA-2015-5524 https://admin.fedoraproject.org/updates/FEDORA-2015-5524/arj-3.10.22-22.fc22

Patch:

Fedora Security Update FEDORA-2015-5546

https://admin.fedoraproject.org/updates/FEDORA-2015-5546/arj-3.10.22-22.fc20

Patch:

Fedora Security Update FEDORA-2015-5603

https://admin.fedoraproject.org/updates/FEDORA-2015-5603/arj-3.10.22-22.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2015-1588

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1588/arj-3.10.22-22.el5

Patch:

Fedora Security Update FEDORA-EPEL-2015-1592

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1592/arj-3.10.22-22.el6

Patch:

Fedora Security Update FEDORA-EPEL-2015-1606

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1606/arj-3.10.22-22.el7

Patch:

Debian Security Advisory DSA-3213-1

https://www.debian.org/security/2015/dsa-3213

CVE-2015-2782: Schwachstelle in ARJ ermöglicht Denial-of-Service-Angriff

IN ARJ wurde eine Schwachstelle gefunden, die auf einem Speicherüberlauf
basiert. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um die Anwendung abstürzen zu lassen
(Denial-of-Service) oder möglicherweise beliebigen Programmcode mit den
Rechten des Benutzers der Anwendung auszuführen.

CVE-2015-0557: Schwachstelle in ARJ ermöglicht die Manipulation von Dateien

In ARJ besteht kein ausreichender Schutz gegen Directory Traversal während
des Extrahierens von Dateiarchiven mit mehreren führenden Schrägstrichen.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um mittels speziell präparierten Archiven in beliebige Dateien zu
schreiben.

CVE-2015-0556: Schwachstelle in ARJ ermöglicht die Manipulation von Dateien

In ARJ besteht kein ausreichender Schutz gegen Directory Traversal während
des Extrahierens von Dateiarchiven mit symbolischen Verweisen (Symlinks).
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um mittels speziell präparierten Archiven in beliebige Dateien zu
schreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0460/

Fedora Security Update FEDORA-2015-5524:
https://admin.fedoraproject.org/updates/FEDORA-2015-5524/arj-3.10.22-22.fc22

Fedora Security Update FEDORA-2015-5546:
https://admin.fedoraproject.org/updates/FEDORA-2015-5546/arj-3.10.22-22.fc20

Fedora Security Update FEDORA-2015-5603:
https://admin.fedoraproject.org/updates/FEDORA-2015-5603/arj-3.10.22-22.fc21

Fedora Security Update FEDORA-EPEL-2015-1588:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1588/arj-3.10.22-22.el5

Fedora Security Update FEDORA-EPEL-2015-1592:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1592/arj-3.10.22-22.el6

Fedora Security Update FEDORA-EPEL-2015-1606:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-1606/arj-3.10.22-22.el7

Schwachstelle CVE-2015-0556 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0556

Schwachstelle CVE-2015-0557 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0557

Schwachstelle CVE-2015-2782 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2782

Debian Security Advisory DSA-3213-1:
https://www.debian.org/security/2015/dsa-3213

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben