Debian DLA-4576:p7zip - セキュリティ更新プログラム

medium Nessus プラグイン ID 314237

Language:

概要

リモートの Debian ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11ホストには、dla-4576アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- ------------------------------------------------------------------------- Debian LTSアドバイザリ DLA-4576-1 [email protected] https://www.debian.org/lts/security/Sylvain Beucler 2026年5月11日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

パッケージ:p7zip バージョン: 16.02+really25.01+dfsg-0+deb11u1 CVE ID: CVE-2022-47069 CVE-2023-31102 CVE-2023-40481 CVE-2023-52168 CVE-2023-52169 CVE-2024-11612 CVE-2025-11001 CVE-2025-11002 CVE-2025-53817 CVE-2025-55188 Debian バグ:1111068

複数の脆弱性が、現在メンテナンスされていない 7-Zip の fork である p7zip で発見されました。これは、複数のフォーマットを処理するファイルアーカイバーです。

残念ながらこれらの修正が分離されていないこれらのセキュリティの脆弱性に対処するため、この更新では p7zip を 7-Zip v25(現在は GNU/Linux をネイティブにサポート)に置き換えており、p7zip と合理的に互換性があるように若干変更されています。

CVE-2022-47069

NArchive::NZip::CInArchive::FindCd 関数を介したヒープバッファオーバーフローの脆弱性

CVE-2023-31102

ppmd7.c により、細工された 7Z アーカイブを介して、整数アンダーフローと無効な読み取り操作が発生する可能性があります。

CVE-2023-40481

SquashFS ファイル解析領域外書き込み RCE

CVE-2023-52168

NTFS ハンドラーのヒープベースのバッファオーバーフロー

CVE-2023-52169

NTFS ハンドラーの領域外読み取り

CVE-2024-11612

CopyCoder の無限ループのサービス拒否

CVE-2025-11001

ZIP ファイル解析のディレクトリトラバーサルの RCE

CVE-2025-11002

ZIP ファイル解析のディレクトリトラバーサルの RCE

CVE-2025-53817

Compound ハンドラーの NULL ポインターデリファレンスにより、サービス拒否が発生する可能性があります

CVE-2025-55188

は、シンボリックリンクを常に適切に処理しているとは限りません

Debian 11 bullseye では、これらの問題はバージョン 16.02+really25.01+dfsg-0+deb11u1 で修正されています。

お使いのp7zipパッケージをアップグレードすることを推奨します。

p7zipの詳細なセキュリティステータスについては、次のセキュリティトラッカーのページを参照してください。
https://security-tracker.debian.org/tracker/p7zip

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

前述の説明ブロックは、Tenable が Debian セキュリティアドバイザリから直接抽出したものです。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。