Bulletin d'alerte Debian

DLA-1541-1 jekyll -- Mise à jour de sécurité pour LTS

Date du rapport :
10 octobre 2018
Paquets concernés :
jekyll
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 909933.
Dans le dictionnaire CVE du Mitre : CVE-2018-17567.
Plus de précisions :

Parker Moore de Github Inc, a découvert une vulnérabilité dans le réglage de include: du fichier de configuration de jekyll qui permettait des lectures de fichier arbitraire. Inclure simplement un lien symbolique dans le tableau include permettait au fichier lié symboliquement d’être lu dans la construction alors qu’il ne devrait être lu en aucune circonstance.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.2.0+dfsg-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets jekyll.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.