Bulletin d'alerte Debian

DSA-3677-1 libarchive -- Mise à jour de sécurité

Date du rapport :
25 septembre 2016
Paquets concernés :
libarchive
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 837714.
Dans le dictionnaire CVE du Mitre : CVE-2016-5418, CVE-2016-6250, CVE-2016-7166.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans libarchive, une bibliothèque d'archive et de compression multi-format, qui pourrait conduire à un déni de service (consommation de mémoire et plantage de l'application), au contournement de restrictions de bac à sable et à l'écrasement de fichiers arbitraires avec des données arbitraires à partir d'une archive, ou à l'exécution de code arbitraire.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.1.2-11+deb8u3.

Nous vous recommandons de mettre à jour vos paquets libarchive.