S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 mars 2007
N° CERTA-2007-AVI-139
Affaire suivie par: CERT-FR
le 27 mars 2007

Avis du CERT-FR

Objet: Vulnérabilité de la bibliothèque ZZIPlib

Gestion du document

Référence CERTA-2007-AVI-139
Titre Vulnérabilité de la bibliothèque ZZIPlib
Date de la première version 27 mars 2007
Date de la dernière version 27 mars 2007
Source(s) Notes de changement dans le projet du 17 mars 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

Les versions de la bibliothèque ZZIPlib antérieures à la 0.13.49.

Description

Une vulnérabilité a été identifiée dans la bilbiothèque ZZIPlib. Cette dernière fournit un accès en lecture pour les archives de type ZIP. Une erreur dans la fonction zzip_open_shared_io qui est mise en œuvre dans le fichier zzip/file.c permettrait à une personne malveillante de perturber le système vulnérable, voire exécuter des commandes arbitraires. De manière plus précise, un appel à la fonction strcpy ne serait pas correctement contrôlé, et la manipulation d'un nom de fichier trop long pourrait ainsi provoquer un débordement de tampon.

Solution

Se référer au bulletin de mise à jour du projet pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 mars 2007
    version initiale.