Bulletin d'alerte Debian

DLA-657-1 libarchive -- Mise à jour de sécurité pour LTS

Date du rapport :
16 octobre 2016
Paquets concernés :
libarchive
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 837714.
Dans le dictionnaire CVE du Mitre : CVE-2016-5418.
Plus de précisions :

Il a été découvert que libarchive gérait mal des entrées d'archive de liens directs de taille de données non nulle, permettant éventuellement à des attaquants distants d'écrire dans des fichiers arbitraires au moyen d'archives contrefaites pour l'occasion.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.0.4-3+wheezy4.

Nous vous recommandons de mettre à jour vos paquets libarchive.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.