LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-846-1 libzip-ruby

Bulletin d'alerte Debian

DLA-846-1 libzip-ruby -- Mise à jour de sécurité pour LTS

Date du rapport :

6 mars 2017

Paquets concernés :

libzip-ruby

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 856269.
Dans le dictionnaire CVE du Mitre : CVE-2017-5946.

Plus de précisions :

Il a été découvert que libzip-ruby, un module de Ruby pour lire et écrire des fichiers zip, est prédisposé à une vulnérabilité de traversée de répertoires. Un attaquant peut exploiter ce défaut pour écraser des fichiers arbitraires lors de l’extraction d’archive à l'aide d'un .. (point point) dans nom de fichier extrait.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 0.9.4-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets libzip-ruby.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.