Bulletin d'alerte Debian
DLA-564-1 tardiff -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 27 juillet 2016
- Paquets concernés :
- tardiff
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-0857, CVE-2015-0858.
- Plus de précisions :
-
Deux vulnérabilités ont été découvertes dans tardiff :
- CVE-2015-0857
L'exécution de commande arbitraire était possible grâce à des métacaractères de l'interpréteur dans le nom (1) d'un fichier tar ou (2) d'un fichier à l'intérieur d'un fichier tar.
- CVE-2015-0858
Des utilisateurs locaux pourraient écrire dans des fichiers arbitraires à l'aide d'une attaque par lien symbolique sur un nom de chemin dans un répertoire temporaire /tmp/tardiff-$$.
Pour Debian 7
Wheezy
, ces problèmes ont été corrigés dans la version 0.1-1+deb7u1.Nous vous recommandons de mettre à jour vos paquets tardiff.
Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.
- CVE-2015-0857