zziplib-0.13.62-9.el7

エラータID: AXSA:2018-3426:01

リリース日: 
2018/11/09 Friday - 08:20
題名: 
zziplib-0.13.62-9.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Low
Description: 

以下項目について対処しました。

[Security Fix]
- ZZIPlib のmmapped.c には、zzip_disk_fread 関数で起こる不正なメモリアドレス
デリファレンスにより、攻撃者がアプリケーションのクラッシュを引き起こし、サ
ービス拒否の状態に陥らせることを可能とする脆弱性があります。
(CVE-2018-7725)

- ZZIPlib の zip.c には、攻撃者が、_zzip_parse_root_directory 関数で起こる
バスエラーを利用し、巧妙に細工されたzip ファイルを介してサービス拒否
の状態に陥らせることを可能とする脆弱性があります。
(CVE-2018-7726)

- ZZIPlib の memdisc.c には、zzip_mem_disk_new 関数で起こるメモリリーク
を誘発し、攻撃者が巧妙に細工された zipファイルを介してサービス拒否の状
態に陥らせることを可能とする脆弱性があります。
(CVE-2018-7727)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2018-7725
An issue was discovered in ZZIPlib 0.13.68. An invalid memory address dereference was discovered in zzip_disk_fread in mmapped.c. The vulnerability causes an application crash, which leads to denial of service.
CVE-2018-7726
An issue was discovered in ZZIPlib 0.13.68. There is a bus error caused by the __zzip_parse_root_directory function of zip.c. Attackers could leverage this vulnerability to cause a denial of service via a crafted zip file.
CVE-2018-7727
An issue was discovered in ZZIPlib 0.13.68. There is a memory leak triggered in the function zzip_mem_disk_new in memdisk.c, which will lead to a denial of service attack.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. zziplib-0.13.62-9.el7.src.rpm
    MD5: 97132ab2041efd98d58d43ce6d3f6a5a
    SHA-256: edd49f16cb8b72a1a5625125045584fc37828e84749964c337effff2a75398d7
    Size: 682.37 kB

Asianux Server 7 for x86_64
  1. zziplib-0.13.62-9.el7.x86_64.rpm
    MD5: 3211ed0d23fc779a608ef08e106590af
    SHA-256: 0a032e198caa85e66e4fd6f6ad465d0ca3bdc4e4cb9efaa78aaaa23772d4b17a
    Size: 81.00 kB
  2. zziplib-0.13.62-9.el7.i686.rpm
    MD5: c8beb5c9c2c1a5285a1849e2e08f2d18
    SHA-256: f47556cda7678d82e2919c230c97f89710598e720826c9d608432777e16f5b1f
    Size: 81.45 kB