Bulletin d'alerte Debian

DLA-596-1 extplorer -- Mise à jour de sécurité pour LTS

Date du rapport :
15 août 2016
Paquets concernés :
extplorer
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-4313.
Plus de précisions :

Il y avait une exploitation de traversée d'archives dans eXtplorer, un gestionnaire de fichiers basé sur le web.

La fonctionnalité unzip/extract permettait une traversée de répertoires dans la mesure où des fichiers décompressés peuvent être placés en dehors du répertoire cible voulu si le contenu de l'archive renferme les caractères « ../ ».

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.1.0b6+dfsg.3-4+deb7u4 d'extplorer.

Nous vous recommandons de mettre à jour vos paquets extplorer.