Bulletin d'alerte Debian

DLA-2307-1 ruby-zip -- Mise à jour de sécurité pour LTS

Date du rapport :
2 août 2020
Paquets concernés :
ruby-zip
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 902720.
Dans le dictionnaire CVE du Mitre : CVE-2018-1000544.
Plus de précisions :

Le gem rubyzip, versions 1.2.1 et précédentes, contenait une vulnérabilité de traversée de répertoire dans le composant Zip::File pouvant aboutir à l’écriture de fichiers arbitraires dans le système de fichiers.

Cette attaque apparaît comme exploitable à travers un site permettant de téléverser des fichiers .zip. Un attaquant peut téléverser un fichier malveillant contenant des liens symboliques ou des fichiers avec des noms de chemin absolu « ../ » pour écrire des fichiers arbitraires dans le système de fichiers.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 1.2.0-1.1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ruby-zip.

Pour disposer d'un état détaillé sur la sécurité de ruby-zip, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ruby-zip

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.