LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2018 / Informations sur la sécurité -- DLA-1564-1 mono

Bulletin d'alerte Debian

DLA-1564-1 mono -- Mise à jour de sécurité pour LTS

Date du rapport :

1^er novembre 2018

Paquets concernés :

mono

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2009-0689.

Plus de précisions :

Il a été découvert que l’analyseur de Mono «·string-to-double·» pouvait planter avec une entrée spécialement contrefaite. Cela pourrait conduire à l’exécution de code arbitraire.

• CVE-2018-1002208

  Mono intègre la bibliothèque sharplibzip qui est vulnérable à une traversée de répertoires, permettant à des attaquants d’écrire des fichiers arbitraires à l'aide d'un ../ (point point barre oblique) dans une entrée d’archive Zip, mal gérée durant l’extraction. Cette vulnérabilité est aussi connue comme «·Zip-Slip·».

  Les développeurs de Mono envisagent de retirer entièrement sharplibzip des sources et n’envisagent pas de corriger ce problème. Il est par conséquent recommandé de récupérer la dernière version de sharplibzip en utilisant le gestionnaire de paquets nuget. La version intégrée ne devrait pas être utilisée avec des fichiers zip non sûrs.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 3.2.8+dfsg-10+deb8u1.

Nous vous recommandons de mettre à jour vos paquets mono.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.