一つのライブラリで tar, cpio, pax, zip, iso9660 の各形式を読み書きできる libarchive1 に複数のローカル及びリモートから攻撃可能な欠陥が発見されまし た。 The Common Vulnerabilities and Exposures project は以下の問題を認識 しています。
libarchive1 がバッファ長を誤計算するため、バッファオーバフローが発生す ることが発見されました。この欠陥は Pax 拡張ヘッダ中にさらに不正な値が ある場合に発現します。
アーカイブが pax 拡張ヘッダ中で途中終了した場合、libarchive1 が無限ル ープにはいることがあります。
アーカイブ中で tar ヘッダ中で中途終了し、その直後に pax 拡張ヘッダが続 く場合、libarchive1 が NULL ポインタ参照を起こすことがあります。
旧安定版 (sarge) にはこのパッケージは収録されていません。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 1.2.53-2etch1 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 2.2.4-1 で修正されています。
直ぐに libarchive パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。