Bulletin d'alerte Debian

DSA-3778-1 ruby-archive-tar-minitar -- Mise à jour de sécurité

Date du rapport :
31 janvier 2017
Paquets concernés :
ruby-archive-tar-minitar
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 853249.
Dans le dictionnaire CVE du Mitre : CVE-2016-10173.
Plus de précisions :

Michal Marek a découvert que ruby-archive-tar-minitar, une bibliothèque Ruby qui offre la possibilité de traiter les fichiers d'archive tar POSIX, est prédisposée à une vulnérabilité de traversée de répertoires. Un attaquant peut tirer avantage de ce défaut pour écraser des fichiers arbitraires lors d'une extraction d'archive à l'aide d'un .. (double point) dans un nom de fichier extrait.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 0.5.2-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets ruby-archive-tar-minitar.