CERTA-2007-AVI-139
Vulnerability from certfr_avis - Published: 2007-03-27 - Updated: 2007-03-27None
Description
Une vulnérabilité a été identifiée dans la bilbiothèque ZZIPlib. Cette dernière fournit un accès en lecture pour les archives de type ZIP. Une erreur dans la fonction zzip_open_shared_io qui est mise en œuvre dans le fichier zzip/file.c permettrait à une personne malveillante de perturber le système vulnérable, voire exécuter des commandes arbitraires. De manière plus précise, un appel à la fonction strcpy ne serait pas correctement contrôlé, et la manipulation d'un nom de fichier trop long pourrait ainsi provoquer un débordement de tampon.
Solution
Se référer au bulletin de mise à jour du projet pour l'obtention des correctifs (cf. section Documentation).
Les versions de la bibliothèque ZZIPlib antérieures à la 0.13.49.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eLes versions de la biblioth\u00e8que ZZIPlib ant\u00e9rieures \u00e0 la 0.13.49.\u003c/P\u003e",
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans la bilbioth\u00e8que ZZIPlib. Cette\nderni\u00e8re fournit un acc\u00e8s en lecture pour les archives de type ZIP. Une\nerreur dans la fonction zzip_open_shared_io qui est mise en \u0153uvre dans\nle fichier zzip/file.c permettrait \u00e0 une personne malveillante de\nperturber le syst\u00e8me vuln\u00e9rable, voire ex\u00e9cuter des commandes\narbitraires. De mani\u00e8re plus pr\u00e9cise, un appel \u00e0 la fonction strcpy ne\nserait pas correctement contr\u00f4l\u00e9, et la manipulation d\u0027un nom de fichier\ntrop long pourrait ainsi provoquer un d\u00e9bordement de tampon.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de mise \u00e0 jour du projet pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2007-1614",
"url": "https://www.cve.org/CVERecord?id=CVE-2007-1614"
}
],
"initial_release_date": "2007-03-27T00:00:00",
"last_revision_date": "2007-03-27T00:00:00",
"links": [
{
"title": "Notes de modifications pour la version 0.13.49 du 17 mars 2007 :",
"url": "http://sourceforge.net/project/shownotes.php?group_id=6389\u0026release_id=494587"
},
{
"title": "Page du projet ZZIPlib :",
"url": "http://sourceforge.net/projects/zziplib/"
}
],
"reference": "CERTA-2007-AVI-139",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2007-03-27T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
},
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": null,
"title": "Vuln\u00e9rabilit\u00e9 de la biblioth\u00e8que ZZIPlib",
"vendor_advisories": [
{
"published_at": null,
"title": "Notes de changement dans le projet du 17 mars 2007",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…