Bulletin d'alerte Debian

DLA-1304-1 zsh -- Mise à jour de sécurité pour LTS

Date du rapport :
9 mars 2018
Paquets concernés :
zsh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-10070, CVE-2014-10071, CVE-2014-10072, CVE-2016-10714, CVE-2017-18206.
Plus de précisions :

plusieurs vulnérabilités ont été découvertes dans l’interpréteur de commandes zsh.

  • CVE-2014-10070

    Correction d’un problème d’élévation des privilèges si l’environnement n’avait pas été correctement nettoyé.

  • CVE-2014-10071

    Prévention d’un dépassement de tampon pour de très longs descripteurs de fichier dans la syntaxe >& fd.

  • CVE-2014-10072

    Correction d’un dépassement de tampon lors de l’analyse de très longs chemins de répertoire pour les liens symboliques.

  • CVE-2016-10714

    Correction d’une erreur due à un décalage d'entier aboutissant à des tampons sous-dimensionnés prévus pour prendre en charge PATH_MAX.

  • CVE-2017-18206

    Correction d'un dépassement de tampon dans l’expansion de liens symboliques.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 4.3.17-1+deb7u1 de zsh.

Nous vous recommandons de mettre à jour vos paquets zsh.