1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200603-12 / zoo |
| Date de Parution | 16 Mars 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| app-arch/zoo | < 2.10-r2 | >= 2.10-r2 | Toutes |
3. Synopsis
Un nouveau dépassement de buffer dans Zoo peut être exploité et entraîner l'exécution d'une portion de code arbitraire.
4. Informations
zoo est un utilitaire d'archivage de fichier écrit par Rahul Dhesi.
5. Description
Zoo contient une nouvelle faille de type "dépassement de buffer" liée à une mauvaise utilisation de la fonction strcpy() lors de la création d'une archive.
6. Impact de la faille
Lors de la création d'une archive, il est possible, en fournissant au programme certains fichiers ou répertoires au nom spécifiquement forgé, de faire exécuter par Zoo une portion de code arbitraire avec les privilèges utilisateurs de sa victime.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Les utilisateurs du Zoo doivent à nouveau mettre à jour ce dernier
# emerge --sync # emerge --ask --oneshot --verbose ">=app-arch/zoo-2.10-r2"
9. Références