> bzip2 BZ2_decompress函数整数溢出漏洞

bzip2 BZ2_decompress函数整数溢出漏洞

CNNVD-ID编号	CNNVD-201009-273	CVE编号	CVE-2010-0405
发布时间	2010-09-30	更新时间	2010-09-30
漏洞类型	数字错误	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	libzip2

漏洞介绍

bzip2是英国软件开发者Julian Seward所研发的一套用于类Unix操作系统中的开源文件压缩和解压工具。

bzip2和libbzip 2 1.0.6之前版本中的decompress.c文件中的BZ2_decompress函数存在整数溢出漏洞。攻击者可以借助特制的压缩文件导致拒绝服务(应用程序崩溃)或者可能执行任意代码。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.bzip.org/downloads.html

参考网址

来源: bugzilla.redhat.com

链接：https://bugzilla.redhat.com/show_bug.cgi?id=627882

来源: xorl.wordpress.com

链接：http://xorl.wordpress.com/2010/09/21/cve-2010-0405-bzip2-integer-overflow/

来源: UBUNTU

名称: USN-986-3

链接：http://www.ubuntu.com/usn/USN-986-3

来源: UBUNTU

名称: USN-986-2

链接：http://www.ubuntu.com/usn/USN-986-2

来源: UBUNTU

名称: USN-986-1

链接：http://www.ubuntu.com/usn/usn-986-1

来源: REDHAT

名称: RHSA-2010:0703

链接：http://www.redhat.com/support/errata/RHSA-2010-0703.html

来源: www.bzip.org

链接：http://www.bzip.org/

来源: SECUNIA

名称: 41505

链接：http://secunia.com/advisories/41505

来源: SECUNIA

名称: 41452

链接：http://secunia.com/advisories/41452

来源: MLIST

名称: [oss-security] 20100921 bzip2 CVE-2010-0405 integer overflow

链接：http://marc.info/?l=oss-security&m=128506868510655&w=2

来源：NSFOCUS

名称：15795

链接：http://www.nsfocus.net/vulndb/15795

受影响实体

Libzip2 Libzip2:1.0.5

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201009-273