Bulletin d'alerte Debian

DLA-245-1 p7zip -- Mise à jour de sécurité pour LTS

Date du rapport :
14 juin 2015
Paquets concernés :
p7zip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 774660.
Dans le dictionnaire CVE du Mitre : CVE-2015-1038.
Plus de précisions :

Alexander Cherepanov a découvert que p7zip est sensible à une vulnérabilité de traversée de répertoires. Lors de l'extraction d'une archive, il extraira des liens symboliques et les suivra s'ils sont référencés dans de nouvelles entrées. Cela peut être exploité par un serveur véreux pour écrire des fichiers en dehors du répertoire courant.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 9.04~dfsg.1-1+deb6u1.

Pour la distribution oldstable (Wheezy) et la distribution stable (Jessie), ce problème sera corrigé prochainement.