Bulletin d'alerte Debian

DLA-2189-1 rzip -- Mise à jour de sécurité pour LTS

Date du rapport :
26 avril 2020
Paquets concernés :
rzip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-8364.
Plus de précisions :

Agostino Sarubbo de Gentoo a découvert un dépassement d’écriture de tampon de tas dans le programme rzip (un programme de compression pour de gros fichiers) lors de la décompression de fichiers contrefaits de manière malveillante.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 2.1-2+deb8u1.

Nous vous recommandons de mettre à jour vos paquets rzip.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.