Risque

  • Déni de service ;
  • exécution de code arbitraire.

Systèmes affectés

lha version 1.14 et versions antérieures.

Résumé

Plusieurs vulnérabilités dans lha permettent à un utilisateur mal intentionné de créer un déni de service ou d'exécuter du code arbitraire à distance.

Description

lha est un utilitaire d'archivage et de compression pour les archives au format LHarc. Plusieurs vulnérabilités ont été découvertes :

  • Une vulnérabilité de type débordement de mémoire dans le traitement des archives au format LHarc (CAN-2004-0769) ;
  • plusieurs vulnérabilités de type débordement de mémoire dans l'analyse des arguments passés en ligne de commande (CAN-2004-0694 et CAN-2004-0771) ;
  • une vulnérabilité de type débordement de mémoire dans l'interprétation des noms de répertoire (CAN-2004-0745).

Ces vulnérabilités permettent à un utilisateur mal intentionné, à l'aide d'une archive LHarc, d'un répertoire ou d'une ligne de commande habilement constituée, de créer un déni de service ou d'exécuter du code arbitraire à distance sur la machine victime.

Solution

Se référer à la section Documentation pour l'obtention des correctifs.

Documentation