Mehrere Sicherheitslücken in Kompressionstool gzip

Zahlreiche Linux-Distributoren sowie die Entwickler von FreeBSD haben neue Pakete des Open-Source (De-)Kompressionsprogrammes gzip (GNUzip) herausgegeben. Darin sind vier Schwachstellen behoben. Drei davon beruhen auf Buffer Overflows in den Funktionen make_table in unlzh.c, build_tree in unpack.c und make_table in der LHA-Unterstützung. Beim Entpacken präparierter Archive kann es passieren, dass Schadcode in den Rechner geschleust und im Kontext des Anwenders ausgeführt wird. Die vierte Lücke steckt in der Funktion huft_build in der LZH-Verarbeitung; sie führt aber nur zum Absturz der Anwendung.

Ein offizieller Patch steht noch nicht zur Verfügung. Anwender sollten die Pakete für ihre Distribution so bald wie möglich installieren.

Siehe dazu auch: (dab)

• CVE-2006-4334 gzip multiple issues, Eintrag in Bugzilla-Datenbank von Red Hat