Bulletin d'alerte Debian

DLA-1144-1 git-annex -- Mise à jour de sécurité pour LTS

Date du rapport :
27 octobre 2017
Paquets concernés :
git-annex
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 873088.
Dans le dictionnaire CVE du Mitre : CVE-2017-12976.
Plus de précisions :

git-annex avant 6.20170818 permet à des attaquants distants d’exécuter des commandes arbitraires à l'aide d'une URL ssh avec un caractère tiret initial dans le nom d’hôte, comme démontré par un ssh://-eProxyCommand= URL, un problème en relation avec CVE-2017-9800, CVE-2017-12836, CVE-2017-1000116, et CVE-2017-1000117.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.20120629+deb7u1.

Nous vous recommandons de mettre à jour vos paquets git-annex.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.