Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en unarj |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Integridad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | GNU/Linux |
| Software afectado | unarj < 2.63a-r2 |
Descripción |
|
|
Existen múltiples vulnerabilidades en unarj: CAN-2004-094 - Existe un desbordamiento de búfer en unarj debido a un manejo incorrecto de los nombres de fichero largos que se encuentren en un archivo. Un atacante podría generar una situación de denegación de servicio en unarj mediante un archivo especialmente diseñado.Es posible incluso ejecutar código arbitrario en el sistema víctima. CAN-2004-1027 - Existe una vulnerabilidad path traversal en unarj. Un atacante podría utilizar un archivo especialmente diseñado el cual posibilitaría la creación de un directorio en (".."). De esta forma se podría llegar a sobreescribir archivos críticos del sistema. |
|
Solución |
|
|
Actualización de software Red Hat Linux Red Hat Enterprise Linux AS (v. 2.1) / SRPMS: unarj-2.43-13.src.rpm Red Hat Enterprise Linux AS (v. 2.1) / IA-32: unarj-2.43-13.i386.rpm Red Hat Enterprise Linux AS (v. 2.1) / IA-64: unarj-2.43-13.ia64.rpm Red Hat Enterprise Linux ES (v. 2.1) / SRPMS: unarj-2.43-13.src.rpm Red Hat Enterprise Linux ES (v. 2.1) / IA-32: unarj-2.43-13.i386.rpm Red Hat Enterprise Linux WS (v. 2.1) / SRPMS: unarj-2.43-13.src.rpm Red Hat Enterprise Linux WS (v. 2.1) / IA-32: unarj-2.43-13.i386.rpm Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor / SRPMS: unarj-2.43-13.src.rpm Red Hat Linux Advanced Workstation 2.1 for the Itanium Processor / IA-64: unarj-2.43-13.ia64.rpm http://rhn.redhat.com/ Debian Linux Debian Linux 3.0 Source http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.dsc http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1.diff.gz http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43.orig.tar.gz Alpha http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_alpha.deb ARM http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_arm.deb Intel IA-32 http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_i386.deb Intel IA-64 http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_ia64.deb HP Precision http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_hppa.deb Motorola 680x0 http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_m68k.deb PowerPC http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_powerpc.deb IBM S/390 http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_s390.deb Sun Sparc http://security.debian.org/pool/updates/non-free/u/unarj/unarj_2.43-3woody1_sparc.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CAN-2004-0947 CAN-2004-1027 |
| BID | |
Recursos adicionales |
|
|
Red Hat Linux Security Advisory (RHSA-2005:007-05) http://rhn.redhat.com/errata/RHSA-2005-007.html Debian Security Advisory DSA 652-1 http://lists.debian.org/debian-security-announce/debian-security-announce-2005/msg00030.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2005-01-13 |
| 1.1 | Aviso emitido por Debian (DSA 652-1) | 2005-01-24 |