LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-564-1 tardiff

Bulletin d'alerte Debian

DLA-564-1 tardiff -- Mise à jour de sécurité pour LTS

Date du rapport :

27 juillet 2016

Paquets concernés :

tardiff

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-0857, CVE-2015-0858.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans tardiff :

• CVE-2015-0857

  L'exécution de commande arbitraire était possible grâce à des métacaractères de l'interpréteur dans le nom (1) d'un fichier tar ou (2) d'un fichier à l'intérieur d'un fichier tar.

• CVE-2015-0858

  Des utilisateurs locaux pourraient écrire dans des fichiers arbitraires à l'aide d'une attaque par lien symbolique sur un nom de chemin dans un répertoire temporaire /tmp/tardiff-$$.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.1-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets tardiff.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.