Update vulnerable radare2 on 16.04, 18.04, 19.10

Bug #1882889 reported by XVilka on 2020-06-10
6
This bug affects 1 person
Affects Status Importance Assigned to Milestone
radare2 (Ubuntu)
Undecided
Unassigned

Bug Description

Ubuntu 16.04 ships radare2-0.9.6 version that is vulnerable to:

CVE-2017-6194 2017-04-03T05:59Z 2017-04-10T22:09Z
CVE-2017-6197 2017-02-24T04:59Z 2017-03-02T02:59Z
CVE-2017-6319 2017-03-02T01:59Z 2017-03-04T02:59Z
CVE-2017-6387 2017-03-02T01:59Z 2017-03-04T02:59Z
CVE-2017-6415 2017-03-02T01:59Z 2017-03-04T02:59Z
CVE-2017-6448 2017-04-03T05:59Z 2017-04-10T21:37Z
CVE-2017-7274 2017-03-27T17:59Z 2017-03-31T12:31Z
CVE-2017-7716 2017-04-12T15:59Z 2019-10-03T00:03Z
CVE-2017-7854 2017-04-13T16:59Z 2019-10-03T00:03Z
CVE-2017-7946 2017-04-18T20:59Z 2017-04-21T15:22Z
CVE-2017-9520 2017-06-08T14:29Z 2017-06-27T14:57Z
CVE-2017-9761 2017-06-19T16:29Z 2017-06-27T14:49Z
CVE-2017-9762 2017-06-19T16:29Z 2017-06-27T14:50Z
CVE-2017-9763 2017-06-19T16:29Z 2017-07-05T17:54Z
CVE-2017-9949 2017-06-26T20:29Z 2019-10-03T00:03Z
CVE-2017-10929 2017-07-05T12:29Z 2017-07-19T16:32Z
CVE-2017-15368 2017-10-16T01:29Z 2019-10-03T00:03Z
CVE-2017-15385 2017-10-16T22:29Z 2017-10-27T14:49Z
CVE-2017-15931 2017-10-27T18:29Z 2017-11-02T01:29Z
CVE-2017-15932 2017-10-27T18:29Z 2017-11-02T01:29Z
CVE-2017-16357 2017-11-01T17:29Z 2017-11-13T16:27Z
CVE-2017-16358 2017-11-01T17:29Z 2017-11-13T16:26Z
CVE-2017-16359 2017-11-01T17:29Z 2017-11-13T16:25Z
CVE-2017-16805 2017-11-13T21:29Z 2017-11-29T14:43Z

CVE-2018-8808 2018-03-20T05:29Z 2019-10-03T00:03Z
CVE-2018-8809 2018-03-20T05:29Z 2019-10-03T00:03Z
CVE-2018-8810 2018-03-20T05:29Z 2019-10-03T00:03Z
CVE-2018-10186 2018-04-17T20:29Z 2019-10-03T00:03Z
CVE-2018-10187 2018-04-17T20:29Z 2019-10-03T00:03Z
CVE-2018-11375 2018-05-22T19:29Z 2018-06-27T17:52Z
CVE-2018-11376 2018-05-22T19:29Z 2018-06-27T17:52Z
CVE-2018-11377 2018-05-22T19:29Z 2018-06-27T17:52Z
CVE-2018-11378 2018-05-22T19:29Z 2018-06-28T14:45Z
CVE-2018-11379 2018-05-22T19:29Z 2018-06-27T15:30Z
CVE-2018-11380 2018-05-22T19:29Z 2018-06-27T17:17Z
CVE-2018-11381 2018-05-22T19:29Z 2018-06-27T15:18Z
CVE-2018-11382 2018-05-22T19:29Z 2018-06-27T15:17Z
CVE-2018-11383 2018-05-22T19:29Z 2018-06-27T15:30Z
CVE-2018-11384 2018-05-22T19:29Z 2018-06-27T15:18Z
CVE-2018-12320 2018-06-13T16:29Z 2018-08-02T12:55Z
CVE-2018-12321 2018-06-13T16:29Z 2018-08-02T13:06Z
CVE-2018-12322 2018-06-13T16:29Z 2018-08-02T15:05Z
CVE-2018-14015 2018-07-12T20:29Z 2018-09-06T15:16Z
CVE-2018-14016 2018-07-12T20:29Z 2019-10-03T00:03Z
CVE-2018-14017 2018-07-12T20:29Z 2019-10-03T00:03Z
CVE-2018-15834 2018-09-12T16:29Z 2018-11-19T16:53Z
CVE-2018-19842 2018-12-04T09:29Z 2018-12-31T14:22Z
CVE-2018-19843 2018-12-04T09:29Z 2018-12-31T14:21Z
CVE-2018-20455 2018-12-25T19:29Z 2018-12-31T14:19Z
CVE-2018-20456 2018-12-25T19:29Z 2018-12-31T14:15Z
CVE-2018-20457 2018-12-25T19:29Z 2019-01-09T14:14Z
CVE-2018-20458 2018-12-25T19:29Z 2018-12-31T14:15Z
CVE-2018-20459 2018-12-25T19:29Z 2019-01-09T14:14Z
CVE-2018-20460 2018-12-25T19:29Z 2018-12-31T13:11Z
CVE-2018-20461 2018-12-25T19:29Z 2018-12-31T14:15Z

CVE-2019-12790 2019-06-10T19:29Z 2019-07-16T05:15Z
CVE-2019-12802 2019-06-13T21:29Z 2019-07-16T05:15Z
CVE-2019-12829 2019-06-15T17:29Z 2019-06-17T16:13Z
CVE-2019-12865 2019-06-17T23:15Z 2019-07-30T03:15Z
CVE-2019-14745 2019-08-07T15:15Z 2019-10-08T03:15Z
CVE-2019-16718 2019-09-23T14:15Z 2019-09-23T18:22Z
CVE-2019-19590 2019-12-05T02:15Z 2020-02-14T03:15Z
CVE-2019-19647 2019-12-09T01:15Z 2020-02-14T03:15Z

Ubuntu 18.04 ships radare2-2.3.0 version that is vulnerable to:

CVE-2018-8808 2018-03-20T05:29Z 2019-10-03T00:03Z
CVE-2018-8809 2018-03-20T05:29Z 2019-10-03T00:03Z
CVE-2018-8810 2018-03-20T05:29Z 2019-10-03T00:03Z
CVE-2018-10186 2018-04-17T20:29Z 2019-10-03T00:03Z
CVE-2018-10187 2018-04-17T20:29Z 2019-10-03T00:03Z
CVE-2018-11375 2018-05-22T19:29Z 2018-06-27T17:52Z
CVE-2018-11376 2018-05-22T19:29Z 2018-06-27T17:52Z
CVE-2018-11377 2018-05-22T19:29Z 2018-06-27T17:52Z
CVE-2018-11378 2018-05-22T19:29Z 2018-06-28T14:45Z
CVE-2018-11379 2018-05-22T19:29Z 2018-06-27T15:30Z
CVE-2018-11380 2018-05-22T19:29Z 2018-06-27T17:17Z
CVE-2018-11381 2018-05-22T19:29Z 2018-06-27T15:18Z
CVE-2018-11382 2018-05-22T19:29Z 2018-06-27T15:17Z
CVE-2018-11383 2018-05-22T19:29Z 2018-06-27T15:30Z
CVE-2018-11384 2018-05-22T19:29Z 2018-06-27T15:18Z
CVE-2018-12320 2018-06-13T16:29Z 2018-08-02T12:55Z
CVE-2018-12321 2018-06-13T16:29Z 2018-08-02T13:06Z
CVE-2018-12322 2018-06-13T16:29Z 2018-08-02T15:05Z
CVE-2018-14015 2018-07-12T20:29Z 2018-09-06T15:16Z
CVE-2018-14016 2018-07-12T20:29Z 2019-10-03T00:03Z
CVE-2018-14017 2018-07-12T20:29Z 2019-10-03T00:03Z
CVE-2018-15834 2018-09-12T16:29Z 2018-11-19T16:53Z
CVE-2018-19842 2018-12-04T09:29Z 2018-12-31T14:22Z
CVE-2018-19843 2018-12-04T09:29Z 2018-12-31T14:21Z
CVE-2018-20455 2018-12-25T19:29Z 2018-12-31T14:19Z
CVE-2018-20456 2018-12-25T19:29Z 2018-12-31T14:15Z
CVE-2018-20457 2018-12-25T19:29Z 2019-01-09T14:14Z
CVE-2018-20458 2018-12-25T19:29Z 2018-12-31T14:15Z
CVE-2018-20459 2018-12-25T19:29Z 2019-01-09T14:14Z
CVE-2018-20460 2018-12-25T19:29Z 2018-12-31T13:11Z
CVE-2018-20461 2018-12-25T19:29Z 2018-12-31T14:15Z

CVE-2019-12790 2019-06-10T19:29Z 2019-07-16T05:15Z
CVE-2019-12802 2019-06-13T21:29Z 2019-07-16T05:15Z
CVE-2019-12829 2019-06-15T17:29Z 2019-06-17T16:13Z
CVE-2019-12865 2019-06-17T23:15Z 2019-07-30T03:15Z
CVE-2019-14745 2019-08-07T15:15Z 2019-10-08T03:15Z
CVE-2019-16718 2019-09-23T14:15Z 2019-09-23T18:22Z
CVE-2019-19590 2019-12-05T02:15Z 2020-02-14T03:15Z
CVE-2019-19647 2019-12-09T01:15Z 2020-02-14T03:15Z

Ubuntu 19.10 ships radare2-3.2.1 version that is vulnerable to:

CVE-2019-12790 2019-06-10T19:29Z 2019-07-16T05:15Z
CVE-2019-12802 2019-06-13T21:29Z 2019-07-16T05:15Z
CVE-2019-12829 2019-06-15T17:29Z 2019-06-17T16:13Z
CVE-2019-12865 2019-06-17T23:15Z 2019-07-30T03:15Z
CVE-2019-14745 2019-08-07T15:15Z 2019-10-08T03:15Z
CVE-2019-16718 2019-09-23T14:15Z 2019-09-23T18:22Z
CVE-2019-19590 2019-12-05T02:15Z 2020-02-14T03:15Z
CVE-2019-19647 2019-12-09T01:15Z 2020-02-14T03:15Z

Please update to the recent unaffected release, e.g. latest 4.4.0:

https://github.com/radareorg/radare2/releases/tag/4.4.0

See also the status in another versions/distributions: https://repology.org/project/radare2/versions

XVilka (xvilka) on 2020-06-10
no longer affects: launchpad
XVilka (xvilka) on 2020-06-12
Changed in radare2 (Ubuntu):
status: New → Confirmed
Alex Murray (alexmurray) wrote :

Thanks for taking the time to report this bug and helping to make Ubuntu better. Since the package referred to in this bug is in universe or multiverse, it is community maintained. If you are able, I suggest coordinating with upstream and posting a debdiff for this issue. When a debdiff is available, members of the security team will review it and publish the package. See the following link for more information: https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures

tags: added: community-security
Alex Murray (alexmurray) wrote :

The version of radare2 in Ubuntu 16.04 LTS is not necessarily affected by all the listed CVEs - for more detailed status of which CVE affects which version please consult the Ubuntu CVE Tracker at http://people.canonical.com/~ubuntu-security/cve/

ie. for instance for CVE-2017-7274 which you can see the status at http://people.canonical.com/~ubuntu-security/cve/CVE-2017-7274 you can see this does not affect Ubuntu 16.04 LTS as the code is not present there.

To post a comment you must log in.
This report contains Public information  Edit
Everyone can see this information.

Other bug subscribers