Un ensemble d'utilitaires de compression de données gzip 1.12 a été publié. La nouvelle version élimine une vulnérabilité dans l'utilitaire zgrep qui permet, lors du traitement d'un nom de fichier spécialement formaté comprenant deux ou plusieurs nouvelles lignes, d'écraser des fichiers arbitraires sur le système, dans la mesure où les droits d'accès actuels le permettent. Le problème apparaît depuis la version 1.3.10, sortie en 2007.
D'autres changements incluent l'arrêt de l'installation de l'utilitaire zless sur les systèmes sans l'utilitaire less, ainsi que la garantie que lors de l'exécution de la commande 'gzip -l', des informations correctes sur les fichiers de plus de 4 Go sont affichées (informations sur la taille du fichier décompressé). les données sont désormais déterminées non pas sur la base de champs fixes de 32 bits de l'en-tête, mais via le déballage avec le calcul réel de la taille des données).
Source: opennet.ru