Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

lhasa <= 0.3.0 Betroffene Plattformen: Debian Linux 7.9 Wheezy Debian Linux 8.3 Jessie Debian Linux 9.0 Stretch Ein entfernter, nicht authentifizierter Angreifer kann den Heap-Speicher eines Benutzers mit beliebigen Daten überschreiben, indem er diesen zum Öffnen speziell präparierter Archivdateien verleitet. Bei ausreichender Kontrolle über den Inhalt des Speichers kann so beliebiger Programmcode ausgeführt werden. Ein derartiger Angriff ist auch erfolgreich, wenn der Dateiinhalt vom System mit Hilfe der passenden Programmbibliothek gescannt wird, beispielsweise wenn die Datei Anhang einer Email ist. In diesem Fall ist keine Benutzerinteraktion nötig, um die Schwachstelle auszunutzen. Für die Distributionen Wheezy (oldstable), Jessie (stable) und Stretch (testing) stehen (Backport-) Sicherheitsupdates bereit, die diese Schwachstelle beheben. Patch: Debian Security Advisory DSA-3540-1 https://www.debian.org/security/2016/dsa-3540

CVE-2016-2347: Schwachstelle in Lhasa ermöglicht Ausführung beliebigen
Programmcodes

Bei der Dekomprimierung von LZH/LHA-Archivdateien mit Lhasa wird geprüft, ob
die Kopfdaten (Header) klein genug sind, aber nicht, ob sie zu klein sind.
Die Dekomprimierung einer Archivdatei mit zu kleinem Header führt zur
Allokation eines Zeigers, der auf einen bereits freigegebenen
Speicherbereich auf dem Heap zeigt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0541/

Debian Security Advisory DSA-3540-1:
https://www.debian.org/security/2016/dsa-3540

Schwachstelle CVE-2016-2347 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2347

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.