Debians sikkerhedsbulletin

DSA-3778-1 ruby-archive-tar-minitar -- sikkerhedsopdatering

Rapporteret den:
31. jan 2017
Berørte pakker:
ruby-archive-tar-minitar
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 853249.
I Mitres CVE-ordbog: CVE-2016-10173.
Yderligere oplysninger:

Michal Marek opdagede at ruby-archive-tar-minitar, et Ruby-bibliotek som giver mulighed for at håndtere POSIX-tararkivfiler, var sårbar over for en mappegennemløbssårbarhed. En angriber kunne drage nytte af fejlen til at overskrive vilkårlige filer under arkivudpaning, gennem et .. (punktum-punktum) i et udpakket filnavn.

I den stabile distribution (jessie), er dette problem rettet i version 0.5.2-2+deb8u1.

Vi anbefaler at du opgraderer dine ruby-archive-tar-minitar-pakker.