Zahlreiche Linux-Distributoren sowie die Entwickler von FreeBSD haben neue Pakete des Open-Source (De-)Kompressionsprogrammes gzip (GNUzip) herausgegeben. Darin sind vier Schwachstellen behoben. Drei davon beruhen auf Buffer Overflows in den Funktionen make_table in unlzh.c, build_tree in unpack.c und make_table in der LHA-Unterstützung. Beim Entpacken präparierter Archive kann es passieren, dass Schadcode in den Rechner geschleust und im Kontext des Anwenders ausgeführt wird. Die vierte Lücke steckt in der Funktion huft_build in der LZH-Verarbeitung; sie führt aber nur zum Absturz der Anwender
Ein offizieller Patch steht noch nicht zur Verfügung. Anwender sollten die Pakete für ihre Distribution so bald wie möglich installieren.
|
|