CVE-2016-3189 - Use-after-free vulnerability in bzip2recover in bzip2 1.0.6 allows remote attackers to cause a denia

CVE-2016-3189

Summary

Use-after-free vulnerability in bzip2recover in bzip2 1.0.6 allows remote attackers to cause a denial of service (crash) via a crafted bzip2 file, related to block ends set to before the start of the block.

References

Vulnerable Configurations

cpe:2.3:a:bzip:bzip2:1.0.6:*:*:*:*:*:*:*
cpe:2.3:a:bzip:bzip2:1.0.6:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha6:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha6:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha7:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:alpha7:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:beta1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:beta1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:beta2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:beta2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:beta3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:beta3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:beta4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:beta4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.0:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.2:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.10.2:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha6:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:alpha6:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:beta5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.0:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.1:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.1:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.1:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.1:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.2:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.2:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.2:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.2:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.2:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.2:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.3:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.3:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.4:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.4:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.5:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.5:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.6:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.6:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.7:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.7:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.8:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.8:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.9:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.9:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.10:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.9.10:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:beta1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:beta1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:beta2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:beta2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:beta3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:beta3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:beta4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:beta4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0b1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.0b1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.1:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.1:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.1:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.1:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.2:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.2:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.2:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.2:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.2:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.2:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.2:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.2:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.3:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.3:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.3:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.3:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.3:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.3:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.4:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.4:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.4:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.4:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.5:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.5:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.6:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.6:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.6:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.6:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.7:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.7:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.7:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.7:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.8:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.8:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.8:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.8:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.8:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.8:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.9:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.9:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.10:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.10:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.11:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.11:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.12:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.8.12:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta3:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta4:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:beta5:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.0:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.1:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.1:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.1:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.1:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.1:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.1:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.1:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.2:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.2:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.2:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.2:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.2:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.2:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.3:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.3:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.3:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.3:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.4:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.4:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.4:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.4:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.4:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.4:rc2:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.5:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.5:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.5:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.5:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.5:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.5:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.6:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.6:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.6:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.6:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.6:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.6:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.7:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.7:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.7:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.7:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.7:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.7:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.8:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.8:-:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.8:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.8:rc1:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.9:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.9:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.10:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.10:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.11:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.11:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.12:*:*:*:*:*:*:*
cpe:2.3:a:python:python:3.7.12:*:*:*:*:*:*:*

CVSS

Base:	4.3 (as of 16-08-2022 - 13:17)
Impact:
Exploitability:

CWE

NVD-CWE-Other

CAPEC

Access

Vector	Complexity	Authentication
NETWORK	MEDIUM	NONE

Impact

Confidentiality	Integrity	Availability
NONE	NONE	PARTIAL

cvss-vector via4

AV:N/AC:M/Au:N/C:N/I:N/A:P

refmap via4

bid	91297
bugtraq	20190715 [slackware-security] bzip2 (SSA:2019-195-01) 20190806 FreeBSD Security Advisory FreeBSD-SA-19:18.bzip2
confirm	http://www.oracle.com/technetwork/topics/security/bulletinjul2016-3090568.html https://bugzilla.redhat.com/show_bug.cgi?id=1319648
freebsd	FreeBSD-SA-19:18
gentoo	GLSA-201708-08
misc	http://packetstormsecurity.com/files/153644/Slackware-Security-Advisory-bzip2-Updates.html http://packetstormsecurity.com/files/153957/FreeBSD-Security-Advisory-FreeBSD-SA-19-18.bzip2.html https://www.oracle.com/security-alerts/cpuoct2020.html
mlist	[debian-lts-announce] 20190624 [SECURITY] [DLA 1833-1] bzip2 security update [kafka-dev] 20200413 [jira] [Created] (KAFKA-9858) CVE-2016-3189 Use-after-free vulnerability in bzip2recover in bzip2 1.0.6 allows remote attackers to cause a denial of service (crash) via a crafted bzip2 file, related to block ends set to before the start of the block. [kafka-jira] 20200413 [jira] [Created] (KAFKA-9858) CVE-2016-3189 Use-after-free vulnerability in bzip2recover in bzip2 1.0.6 allows remote attackers to cause a denial of service (crash) via a crafted bzip2 file, related to block ends set to before the start of the block. [kafka-jira] 20200413 [jira] [Updated] (KAFKA-9858) CVE-2016-3189 Use-after-free vulnerability in bzip2recover in bzip2 1.0.6 allows remote attackers to cause a denial of service (crash) via a crafted bzip2 file, related to block ends set to before the start of the block. [kafka-jira] 20200414 [jira] [Commented] (KAFKA-9858) CVE-2016-3189 Use-after-free vulnerability in bzip2recover in bzip2 1.0.6 allows remote attackers to cause a denial of service (crash) via a crafted bzip2 file, related to block ends set to before the start of the block. [kafka-users] 20200413 CVEs for the dependency software guava and rocksdbjni of Kafka [oss-security] 20160620 CVE-2016-3189: bzip2 use-after-free on bzip2recover
sectrack	1036132
ubuntu	USN-4038-1 USN-4038-2

Last major update

16-08-2022 - 13:17

Published

30-06-2016 - 17:59

Last modified

16-08-2022 - 13:17