L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de gzip : exécution de code avec zgrep

Synthèse de la vulnérabilité 

Lors de l'analyse d'un fichier illicite par zgrep, une commande peut s'exécuter sur la machine.
Produits impactés : Fedora, Mandriva Linux, RHEL, RedHat Linux.
Gravité de ce bulletin : 2/4.
Date de création : 19/05/2005.
Dates de révisions : 02/06/2005, 13/06/2005, 17/06/2005, 23/06/2005, 27/06/2005.
Références de cette menace : 10279, 20050603-01-U, 20050605-01-U, 20060301-01-U, BID-13582, CERTA-2005-AVI-183, CVE-2005-0758, FEDORA-2005-471, FLSA-2005:157696, FLSA-2005:158801, MDKSA-2005:092, MDKSA-2006:026, MDKSA-2006:027, RHSA-2005:357, RHSA-2005:474, SGI 20050603, SGI 20050605, TLSA-2005-59, V6-UNIXGZIPZGREPFILEEXEC, VIGILANCE-VUL-4971.

Description de la vulnérabilité 

L'utilitaire zgrep, fourni avec gzip, permet de rechercher des motifs dans des archives compressées.

Cependant, cet utilitaire ne filtre pas correctement les noms de fichiers extraits avant de les traiter. Un attaquant peut donc créer une archive dont un des fichiers contienne des caractères d'échappement afin de faire exécuter une commande shell sur la machine.

Cette vulnérabilité permet ainsi à un attaquant de faire exécuter des commandes avec les droits des utilisateurs de zgrep.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis de menace informatique concerne les logiciels ou systèmes comme Fedora, Mandriva Linux, RHEL, RedHat Linux.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de faille.

Solutions pour cette menace 

Fedora : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
f6984277ffe974e788fe9af5d08ebc90 SRPMS/gzip-1.3.3-15.fc3.src.rpm
c6ee0023e29c1e7188e01e9079d7699c x86_64/gzip-1.3.3-15.fc3.x86_64.rpm
167379a0e560b57185c31a8161f8834b x86_64/debug/gzip-debuginfo-1.3.3-15.fc3.x86_64.rpm
034dcbfcc54b7b086d385a1e15e3cb5b i386/gzip-1.3.3-15.fc3.i386.rpm
81d0d42d7847dff6bac024ae267adb8b i386/debug/gzip-debuginfo-1.3.3-15.fc3.i386.rpm

Mandrake : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
 Mandrakelinux 10.0:
 747eb53b876e9dd0544d58d8cafd436d 10.0/RPMS/gzip-1.2.4a-13.2.100mdk.i586.rpm
 6b8b1c839de2659bdbf3ef7b2d084c49 10.0/SRPMS/gzip-1.2.4a-13.2.100mdk.src.rpm
 Mandrakelinux 10.0/AMD64:
 55b145f3a6211d3214e4ac84a9f3d2db amd64/10.0/RPMS/gzip-1.2.4a-13.2.100mdk.amd64.rpm
 6b8b1c839de2659bdbf3ef7b2d084c49 amd64/10.0/SRPMS/gzip-1.2.4a-13.2.100mdk.src.rpm
 Mandrakelinux 10.1:
 f52a97a5a011807be418d9813e8be8a7 10.1/RPMS/gzip-1.2.4a-13.2.101mdk.i586.rpm
 50b48751f7f56fafc86ae58c39473b19 10.1/SRPMS/gzip-1.2.4a-13.2.101mdk.src.rpm
 Mandrakelinux 10.1/X86_64:
 6f68527ab34b108cd142f7612f01624b x86_64/10.1/RPMS/gzip-1.2.4a-13.2.101mdk.x86_64.rpm
 50b48751f7f56fafc86ae58c39473b19 x86_64/10.1/SRPMS/gzip-1.2.4a-13.2.101mdk.src.rpm
 Mandrakelinux 10.2:
 2e4b095f517150b0c3fd8f06e8b02b54 10.2/RPMS/gzip-1.2.4a-14.1.102mdk.i586.rpm
 d9a2c5788a582dc194e4726b68708e75 10.2/SRPMS/gzip-1.2.4a-14.1.102mdk.src.rpm
 Mandrakelinux 10.2/X86_64:
 819a41d23efc8ad2c26cd9786178a52c x86_64/10.2/RPMS/gzip-1.2.4a-14.1.102mdk.x86_64.rpm
 d9a2c5788a582dc194e4726b68708e75 x86_64/10.2/SRPMS/gzip-1.2.4a-14.1.102mdk.src.rpm

Mandriva : nouveaux paquetages bzip2.
De nouveaux paquetages sont disponibles :
 Mandriva Linux 10.1:
 9ba66ec27bbf76ba782127e9d35b47cf 10.1/RPMS/bzip2-1.0.2-20.4.101mdk.i586.rpm
 aa67aef5d33f2d63dbe1970b75feeb6c 10.1/RPMS/libbzip2_1-1.0.2-20.4.101mdk.i586.rpm
 39ac11e51b9891bdbc781a5f57802532 10.1/RPMS/libbzip2_1-devel-1.0.2-20.4.101mdk.i586.rpm
 7af647d2bd9ed2235ce9f48e45b88510 10.1/SRPMS/bzip2-1.0.2-20.4.101mdk.src.rpm
 Mandriva Linux 10.1/X86_64:
 c482a9d432f31f6ae2de7b2a68547b97 x86_64/10.1/RPMS/bzip2-1.0.2-20.4.101mdk.x86_64.rpm
 e9ae19f83d4156ff00b64c3bb738094e x86_64/10.1/RPMS/lib64bzip2_1-1.0.2-20.4.101mdk.x86_64.rpm
 464e89b49a8e8b50bf90c2591d0fe773 x86_64/10.1/RPMS/lib64bzip2_1-devel-1.0.2-20.4.101mdk.x86_64.rpm
 7af647d2bd9ed2235ce9f48e45b88510 x86_64/10.1/SRPMS/bzip2-1.0.2-20.4.101mdk.src.rpm
 Mandriva Linux 10.2:
 7df4a217662f8c37e245eb93d93a371d 10.2/RPMS/bzip2-1.0.2-20.3.102mdk.i586.rpm
 8f786bbbddacf81ccf78858566f4b61e 10.2/RPMS/libbzip2_1-1.0.2-20.3.102mdk.i586.rpm
 560e3fcafd35a390acc92b3585c3e209 10.2/RPMS/libbzip2_1-devel-1.0.2-20.3.102mdk.i586.rpm
 70536dcc4a48fd2c927533f5610e4c30 10.2/SRPMS/bzip2-1.0.2-20.3.102mdk.src.rpm
 Mandriva Linux 10.2/X86_64:
 fbb29ba214b192f71f93e1651e2859f6 x86_64/10.2/RPMS/bzip2-1.0.2-20.3.102mdk.x86_64.rpm
 fad0d57ba24c7c2564a052621dabef6f x86_64/10.2/RPMS/lib64bzip2_1-1.0.2-20.3.102mdk.x86_64.rpm
 e88392d200f33e476e43ff9d07576173 x86_64/10.2/RPMS/lib64bzip2_1-devel-1.0.2-20.3.102mdk.x86_64.rpm
 70536dcc4a48fd2c927533f5610e4c30 x86_64/10.2/SRPMS/bzip2-1.0.2-20.3.102mdk.src.rpm
 Mandriva Linux 2006.0:
 4e0529ee4c44182a0595aafaa4cc5f07 2006.0/RPMS/bzip2-1.0.3-1.2.20060mdk.i586.rpm
 bce98fe9a3066968923b0bd067908777 2006.0/RPMS/libbzip2_1-1.0.3-1.2.20060mdk.i586.rpm
 cbed01da9b0111e3f47f59735ec16a09 2006.0/RPMS/libbzip2_1-devel-1.0.3-1.2.20060mdk.i586.rpm
 d099cf8e4a81702f32efbd9afe92f208 2006.0/SRPMS/bzip2-1.0.3-1.2.20060mdk.src.rpm
 Mandriva Linux 2006.0/X86_64:
 c2c65e542f1e9b34a801f578f3ce0920 x86_64/2006.0/RPMS/bzip2-1.0.3-1.2.20060mdk.x86_64.rpm
 e401cf58458c72b0fa8de87352f81ecf x86_64/2006.0/RPMS/lib64bzip2_1-1.0.3-1.2.20060mdk.x86_64.rpm
 920aa42c55fc7a97912433ca2c9f5adb x86_64/2006.0/RPMS/lib64bzip2_1-devel-1.0.3-1.2.20060mdk.x86_64.rpm
 d099cf8e4a81702f32efbd9afe92f208 x86_64/2006.0/SRPMS/bzip2-1.0.3-1.2.20060mdk.src.rpm
 Corporate Server 2.1:
 521d044c36980ad67d31d235cf1290bf corporate/2.1/RPMS/bzip2-1.0.2-10.4.C21mdk.i586.rpm
 dafdb66e984581813890aa05a9e597e3 corporate/2.1/RPMS/libbzip2_1-1.0.2-10.4.C21mdk.i586.rpm
 5470771fb2586bf4c28439d7923cbf60 corporate/2.1/RPMS/libbzip2_1-devel-1.0.2-10.4.C21mdk.i586.rpm
 9215603a9dc985117ec1f5476fb0e05e corporate/2.1/SRPMS/bzip2-1.0.2-10.4.C21mdk.src.rpm
 Corporate Server 2.1/X86_64:
 ec9760c37823edd74fbe67e4f7467607 x86_64/corporate/2.1/RPMS/bzip2-1.0.2-10.4.C21mdk.x86_64.rpm
 709e7e4d97e553500c334d443a99289d x86_64/corporate/2.1/RPMS/libbzip2_1-1.0.2-10.4.C21mdk.x86_64.rpm
 032616025d51bb2e2c0d957deb606016 x86_64/corporate/2.1/RPMS/libbzip2_1-devel-1.0.2-10.4.C21mdk.x86_64.rpm
 9215603a9dc985117ec1f5476fb0e05e x86_64/corporate/2.1/SRPMS/bzip2-1.0.2-10.4.C21mdk.src.rpm
 Corporate 3.0:
 abf848e7e0779c5df11a9f52a33c952e corporate/3.0/RPMS/bzip2-1.0.2-17.4.C30mdk.i586.rpm
 ea41c2d1db6197763b8ae5602de69d47 corporate/3.0/RPMS/libbzip2_1-1.0.2-17.4.C30mdk.i586.rpm
 ae5a1944fc833de24f3d6845e815fb91 corporate/3.0/RPMS/libbzip2_1-devel-1.0.2-17.4.C30mdk.i586.rpm
 8f3a578903df91bcc206e20f51219063 corporate/3.0/SRPMS/bzip2-1.0.2-17.4.C30mdk.src.rpm
 Corporate 3.0/X86_64:
 66856ec28ef826f1eeaca20fb71d1555 x86_64/corporate/3.0/RPMS/bzip2-1.0.2-17.4.C30mdk.x86_64.rpm
 9e46e6e8bc7eb84d74578339ab19dbd3 x86_64/corporate/3.0/RPMS/lib64bzip2_1-1.0.2-17.4.C30mdk.x86_64.rpm
 8a15e6bfcfcf7daee02a3c4770b85b25 x86_64/corporate/3.0/RPMS/lib64bzip2_1-devel-1.0.2-17.4.C30mdk.x86_64.rpm
 8f3a578903df91bcc206e20f51219063 x86_64/corporate/3.0/SRPMS/bzip2-1.0.2-17.4.C30mdk.src.rpm

Mandriva : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
 Mandriva Linux 10.1:
 62937bbc65984b8f32a8817ca9d0a83a 10.1/RPMS/gzip-1.2.4a-13.3.101mdk.i586.rpm
 03b66c3fff9a34edf0f714f773755d94 10.1/SRPMS/gzip-1.2.4a-13.3.101mdk.src.rpm
 Mandriva Linux 10.1/X86_64:
 fc3cc9dbcf1ca6b67f19a512ca555ed9 x86_64/10.1/RPMS/gzip-1.2.4a-13.3.101mdk.x86_64.rpm
 03b66c3fff9a34edf0f714f773755d94 x86_64/10.1/SRPMS/gzip-1.2.4a-13.3.101mdk.src.rpm
 Mandriva Linux 10.2:
 431066b4062f9f23a09a137edb20b7b6 10.2/RPMS/gzip-1.2.4a-14.2.102mdk.i586.rpm
 15e833f4126a3708773a7f055c24e21e 10.2/SRPMS/gzip-1.2.4a-14.2.102mdk.src.rpm
 Mandriva Linux 10.2/X86_64:
 b18f7f611c82083e8e5605687165f1f3 x86_64/10.2/RPMS/gzip-1.2.4a-14.2.102mdk.x86_64.rpm
 15e833f4126a3708773a7f055c24e21e x86_64/10.2/SRPMS/gzip-1.2.4a-14.2.102mdk.src.rpm
 Mandriva Linux 2006.0:
 9a496bbbe2e1a07096c7ac536fc2456c 2006.0/RPMS/gzip-1.2.4a-15.1.20060mdk.i586.rpm
 da6e6cd98d8e37904c6e5140950367ac 2006.0/SRPMS/gzip-1.2.4a-15.1.20060mdk.src.rpm
 Mandriva Linux 2006.0/X86_64:
 e1e5bf8168bdd95291364b4078504df5 x86_64/2006.0/RPMS/gzip-1.2.4a-15.1.20060mdk.x86_64.rpm
 da6e6cd98d8e37904c6e5140950367ac x86_64/2006.0/SRPMS/gzip-1.2.4a-15.1.20060mdk.src.rpm
 Corporate Server 2.1:
 3b8cb2a9448fc5411bd8e49bb7037ffe corporate/2.1/RPMS/gzip-1.2.4a-11.5.C21mdk.i586.rpm
 3baf958e1a8159e1621f7d1694b24a24 corporate/2.1/SRPMS/gzip-1.2.4a-11.5.C21mdk.src.rpm
 Corporate Server 2.1/X86_64:
 996b5e2b2b3f330fa9387e18e9f7d422 x86_64/corporate/2.1/RPMS/gzip-1.2.4a-11.5.C21mdk.x86_64.rpm
 3baf958e1a8159e1621f7d1694b24a24 x86_64/corporate/2.1/SRPMS/gzip-1.2.4a-11.5.C21mdk.src.rpm
 Corporate 3.0:
 8d5bbe00592a9830ce4ac5d2b120e867 corporate/3.0/RPMS/gzip-1.2.4a-13.3.C30mdk.i586.rpm
 5baa56e8feb905c9fb48629344a88b02 corporate/3.0/SRPMS/gzip-1.2.4a-13.3.C30mdk.src.rpm
 Corporate 3.0/X86_64:
 0fd942e8d92942d5cee224263a27db9c x86_64/corporate/3.0/RPMS/gzip-1.2.4a-13.3.C30mdk.x86_64.rpm
 5baa56e8feb905c9fb48629344a88b02 x86_64/corporate/3.0/SRPMS/gzip-1.2.4a-13.3.C30mdk.src.rpm

Red Hat Linux, Fedora Core 1 et 2 : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
Red Hat Linux 7.3:
SRPM:
http://download.fedoralegacy.org/redhat/7.3/updates/SRPMS/gzip-1.3.3-1.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/7.3/updates/i386/gzip-1.3.3-1.2.legacy.i386.rpm
Red Hat Linux 9:
SRPM:
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/gzip-1.3.3-9.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/9/updates/i386/gzip-1.3.3-9.2.legacy.i386.rpm
Fedora Core 1:
SRPM:
http://download.fedoralegacy.org/fedora/1/updates/SRPMS/gzip-1.3.3-11.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/1/updates/i386/gzip-1.3.3-11.2.legacy.i386.rpm
Fedora Core 2:
SRPM:
http://download.fedoralegacy.org/fedora/2/updates/SRPMS/gzip-1.3.3-12.2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/2/updates/i386/gzip-1.3.3-12.2.legacy.i386.rpm

Red Hat Linux, Fedora Core : nouveaux paquetages bzip2.
De nouveaux paquetages sont disponibles :
Red Hat Linux 7.3:
SRPM:
http://download.fedoralegacy.org/redhat/7.3/updates/SRPMS/bzip2-1.0.2-2.2.73.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/7.3/updates/i386/bzip2-1.0.2-2.2.73.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/7.3/updates/i386/bzip2-devel-1.0.2-2.2.73.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/7.3/updates/i386/bzip2-libs-1.0.2-2.2.73.legacy.i386.rpm
Red Hat Linux 9:
SRPM:
http://download.fedoralegacy.org/redhat/9/updates/SRPMS/bzip2-1.0.2-8.1.90.legacy.src.rpm
i386:
http://download.fedoralegacy.org/redhat/9/updates/i386/bzip2-1.0.2-8.1.90.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/bzip2-devel-1.0.2-8.1.90.legacy.i386.rpm
http://download.fedoralegacy.org/redhat/9/updates/i386/bzip2-libs-1.0.2-8.1.90.legacy.i386.rpm
Fedora Core 1:
SRPM:
http://download.fedoralegacy.org/fedora/1/updates/SRPMS/bzip2-1.0.2-10.1.fc1.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/1/updates/i386/bzip2-1.0.2-10.1.fc1.legacy.i386.rpm
http://download.fedoralegacy.org/fedora/1/updates/i386/bzip2-devel-1.0.2-10.1.fc1.legacy.i386.rpm
http://download.fedoralegacy.org/fedora/1/updates/i386/bzip2-libs-1.0.2-10.1.fc1.legacy.i386.rpm
Fedora Core 2:
SRPM:
http://download.fedoralegacy.org/fedora/2/updates/SRPMS/bzip2-1.0.2-12.2.fc2.legacy.src.rpm
i386:
http://download.fedoralegacy.org/fedora/2/updates/i386/bzip2-1.0.2-12.2.fc2.legacy.i386.rpm
http://download.fedoralegacy.org/fedora/2/updates/i386/bzip2-devel-1.0.2-12.2.fc2.legacy.i386.rpm
http://download.fedoralegacy.org/fedora/2/updates/i386/bzip2-libs-1.0.2-12.2.fc2.legacy.i386.rpm

RHEL : nouveaux paquetages bzip2.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 2.1:
SRPMS:
bzip2-1.0.1-4.EL2.1.src.rpm
i386:
bzip2-1.0.1-4.EL2.1.i386.rpm
bzip2-devel-1.0.1-4.EL2.1.i386.rpm
bzip2-libs-1.0.1-4.EL2.1.i386.rpm
ia64:
bzip2-1.0.1-4.EL2.1.ia64.rpm
bzip2-devel-1.0.1-4.EL2.1.ia64.rpm
bzip2-libs-1.0.1-4.EL2.1.ia64.rpm
Red Hat Enterprise Linux version 3:
SRPMS:
bzip2-1.0.2-11.EL3.4.src.rpm
i386:
bzip2-1.0.2-11.EL3.4.i386.rpm
bzip2-devel-1.0.2-11.EL3.4.i386.rpm
bzip2-libs-1.0.2-11.EL3.4.i386.rpm
ia64:
bzip2-1.0.2-11.EL3.4.ia64.rpm
bzip2-devel-1.0.2-11.EL3.4.ia64.rpm
bzip2-libs-1.0.2-11.EL3.4.i386.rpm
bzip2-libs-1.0.2-11.EL3.4.ia64.rpm
Red Hat Enterprise Linux version 4:
SRPMS:
bzip2-1.0.2-13.EL4.2.src.rpm
i386:
bzip2-1.0.2-13.EL4.2.i386.rpm
bzip2-devel-1.0.2-13.EL4.2.i386.rpm
bzip2-libs-1.0.2-13.EL4.2.i386.rpm
ia64:
bzip2-1.0.2-13.EL4.2.ia64.rpm
bzip2-devel-1.0.2-13.EL4.2.ia64.rpm
bzip2-libs-1.0.2-13.EL4.2.i386.rpm
bzip2-libs-1.0.2-13.EL4.2.ia64.rpm

RHEL : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux 2.1 :
Src: gzip-1.3-18.rhel2.src.rpm
i386: gzip-1.3-18.rhel2.i386.rpm
ia64: gzip-1.3-18.rhel2.ia64.rpm
Red Hat Enterprise Linux version 3:
Src: gzip-1.3.3-12.rhel3.src.rpm
i386: gzip-1.3.3-12.rhel3.i386.rpm
ia64: gzip-1.3.3-12.rhel3.ia64.rpm
Red Hat Enterprise Linux AS version 4:
Src: gzip-1.3.3-15.rhel4.src.rpm
i386: gzip-1.3.3-15.rhel4.i386.rpm
ia64: gzip-1.3.3-15.rhel4.ia64.rpm

SGI ProPack : nouveaux paquetages ImageMagick, bzip2, tar.
Le patch 10279 ou de nouveaux paquetages sont disponibles :
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS

SGI ProPack : nouveaux paquetages telnet, squid, gaim et bzip2.
Le patch 10180 est disponible :
  http://support.sgi.com/
Des RPMs individuels sont aussi proposés :
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS
  ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS

SGI ProPack : patch.
Le patch 10179 est disponible :
  http://support.sgi.com/
  ftp://patches.sgi.com/support/free/security/patches/ProPack/3/
 
 Des RPMs individuels sont aussi proposés :
   ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/RPMS
   ftp://oss.sgi.com/projects/sgi_propack/download/3/updates/SRPMS

Turbolinux : nouveaux paquetages gzip.
De nouveaux paquetages sont disponibles :
Turbolinux Appliance Server 1.0 : gzip-1.3.3-7
Turbolinux 10 : gzip-1.3.3-7
Turbolinux 8 : gzip-1.3.3-7
Turbolinux 7 : gzip-1.3.3-7
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une base de vulnérabilité informatique. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.