📚 libarchive bis 3.2.0 7zip File Handler archive_read_support_format_7zip.c read_SubStreamsInfo Pufferüberlauf

🕛 Zeit seit Veröffentlichung: 2763 Tage, 11 Stunden 22 Minuten
📆 Veröffentlicht am: 21.09.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Es wurde eine Schwachstelle in libarchive bis 3.2.0 ausgemacht. Sie wurde als kritisch eingestuft. Es betrifft die Funktion read_SubStreamsInfo der Datei archive_read_support_format_7zip.c der Komponente 7zip File Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Integer) ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 21.09.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2016-4300 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Aktualisieren auf die Version 3.2.1 vermag dieses Problem zu lösen.

Von weiterem Interesse können die folgenden Einträge sein: 91816 und 91817.

CVSSv3

Base Score: ≈6.3 [?]
Temp Score: ≈6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium

CVSSv2

Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium

CPE

• cpe:/a:libarchive:libarchive:3.2.0

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: libarchive 3.2.1

Timeline

21.09.2016 Advisory veröffentlicht
22.09.2016 VulDB Eintrag erstellt
22.09.2016 VulDB letzte Aktualisierung

Quellen

CVE: CVE-2016-4300 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 91816, 91817

Eintrag

Erstellt: 22.09.2016
Eintrag: 71.7% komplett
...