Bulletin d'alerte Debian

DLA-1846-1 unzip -- Mise à jour de sécurité pour LTS

Date du rapport :
7 juillet 2019
Paquets concernés :
unzip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 931433.
Dans le dictionnaire CVE du Mitre : CVE-2019-13232.
Plus de précisions :

David Fifield a découvert un moyen de construire des bombes de décompression non récursives qui réalisent un taux de compression élevé en superposant des fichiers dans un conteneur zip. Cependant, la taille de sortie croît de manière quadratique par rapport à la taille d’entrée, atteignant un taux de compression de plus de 28 millions (10 MB -> 281 TB) à la limite du format zip, ce qui peut causer un déni de service. Mark Adler a fourni un correctif pour le programme unzip pour détecter et rejeter de tels fichiers zip.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 6.0-16+deb8u4.

Nous vous recommandons de mettre à jour vos paquets unzip.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.