Bulletin d'alerte Debian

DSA-3915-1 ruby-mixlib-archive -- Mise à jour de sécurité

Date du rapport :
20 juillet 2017
Paquets concernés :
ruby-mixlib-archive
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 868572.
Dans le dictionnaire CVE du Mitre : CVE-2017-1000026.
Plus de précisions :

ruby-mixlib-archive, une bibliothèque de Chef Software utilisée pour la gestion de divers formats d'archive, était vulnérable à une attaque de traversée de répertoires. Cela permettait à des attaquants d'écraser des fichiers arbitraires en utilisant une archive tar malveillante contenant « .. » dans ses entrées.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 0.2.0-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ruby-mixlib-archive.