Bulletin d'alerte Debian

DLA-808-1 ruby-archive-tar-minitar -- Mise à jour de sécurité pour LTS

Date du rapport :
30 janvier 2017
Paquets concernés :
ruby-archive-tar-minitar
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 853249.
Dans le dictionnaire CVE du Mitre : CVE-2016-10173.
Plus de précisions :

Il a été découvert que le gem de Ruby archive-tar-minitar permet à des attaquants d’écraser des fichiers arbitraires lors de l’extraction d’archives à l'aide d'un « .. » (point point) dans un nom de fichier extrait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.5.2-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets ruby-archive-tar-minitar.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.