Bulletin d'alerte Debian

DLA-564-1 tardiff -- Mise à jour de sécurité pour LTS

Date du rapport :
27 juillet 2016
Paquets concernés :
tardiff
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-0857, CVE-2015-0858.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans tardiff :

  • CVE-2015-0857

    L'exécution de commande arbitraire était possible grâce à des métacaractères de l'interpréteur dans le nom (1) d'un fichier tar ou (2) d'un fichier à l'intérieur d'un fichier tar.

  • CVE-2015-0858

    Des utilisateurs locaux pourraient écrire dans des fichiers arbitraires à l'aide d'une attaque par lien symbolique sur un nom de chemin dans un répertoire temporaire /tmp/tardiff-$$.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.1-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets tardiff.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.