Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0300 Update 1

Risikostufe 3

Titel:AdvanceCOMP: Eine Schwachstelle ermöglicht einen Denial-of-Service-AngriffDatum:08.03.2018Software:AdcanveCOMP < 2.1Plattform:Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.10, Red Hat Fedora 27Auswirkung:Denial-of-ServiceRemoteangriff:JaRisiko:mittelCVE Liste:CVE-2018-1056Bezug: Ubuntu Security Notice USN-3570-1

Beschreibung

AdvanceCOMP ist ein Kompressionswerkzeug, welches speziell dafür entwickelt wurde, vorhandene Archive, z.B. des Typs ZIP oder PNG, erneut mit einer höheren Kompressionsrate zu komprimieren. Für die Kompression wird der verbreitete DEFLATE-Algorithmus verwendet.

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer manipulierten ZIP-Datei, welche ein Benutzer öffnen muss, einen Denial-of-Service (DoS)-Angriff durchführen oder möglicherweise beliebigen Programmcode zur Ausführung bringen. Die Schwachstelle wird mit dem AdvanceCOMP 2.1 Release behoben. Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Backport-Sicherheitsupdates für AdvanceCOMP zur Behebung der Schwachstelle bereit.