Säkerhetsbulletin från Debian

DSA-3778-1 ruby-archive-tar-minitar -- säkerhetsuppdatering

Rapporterat den:
2017-01-31
Berörda paket:
ruby-archive-tar-minitar
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 853249.
I Mitres CVE-förteckning: CVE-2016-10173.
Ytterligare information:

Michal Marek upptäckte att ruby-archive-tar-minitar, ett Ruby-bibliotek som tillhandahåller möjligheten att hantera POSIX tar-arkivfiler, är i riskzonen för en katalogtraverseringssårbarhet. En angripare kan dra fördel av denna brist för att skriva över godtyckliga filer under arkivextrahering via en .. (punkt punkt) i ett extraherat filnamn.

För den stabila utgåvan (Jessie) har detta problem rättats i version 0.5.2-2+deb8u1.

Vi rekommenderar att ni uppgraderar era ruby-archive-tar-minitar-paket.