LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1846-2 unzip

Bulletin d'alerte Debian

DLA-1846-2 unzip -- Mise à jour de sécurité pour LTS

Date du rapport :

28 juillet 2019

Paquets concernés :

unzip

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 932404.
Dans le dictionnaire CVE du Mitre : CVE-2019-13232.

Plus de précisions :

La mise à jour de sécurité d’unzip publiée sous DLA 1846-1 causait une régression lors de la construction à partir du source du navigateur web Firefox.

Un fichier de type zip est présent dans la distribution de Firefox, omni.ja, qui est un conteneur zip avec le répertoire central placé au début du fichier au lieu d’être placé après les entrées locales comme requis par la norme zip. Cette mise à jour permet désormais à de tels conteneurs de ne pas apparaître comme alertes de bombe zip quand en fait il n’existe pas de chevauchements.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 6.0-16+deb8u5.

Nous vous recommandons de mettre à jour vos paquets unzip.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.