Bulletin d'alerte Debian

DLA-2470-1 zsh -- Mise à jour de sécurité pour LTS

Date du rapport :
1er décembre 2020
Paquets concernés :
zsh
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 908000, Bogue 894044, Bogue 894043, Bogue 895225, Bogue 951458.
Dans le dictionnaire CVE du Mitre : CVE-2017-18206, CVE-2018-0502, CVE-2018-1071, CVE-2018-1083, CVE-2018-1100, CVE-2018-13259, CVE-2019-20044.
Plus de précisions :

CVE-2018-1100 CVE-2018-13259 CVE-2019-20044 Bogues Debian : 908000 894044 894043 895225 951458

Plusieurs vulnérabilités de sécurité ont été trouvées et corrigées dans zsh, un langage de script et un interpréteur de commandes puissant. Des erreurs dues à un décalage d'entier, une mauvaise analyse de la ligne de shebang et des dépassements de tampon pourraient conduire à un comportement inattendu. Un utilisateur local non privilégié peut créer un fichier de message ou un chemin de répertoire contrefait spécialement. Si un utilisateur l’accepte et est privilégié ou traverse ce chemin, cela aboutit à une élévation des privilèges.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 5.3.1-4+deb9u4.

Nous vous recommandons de mettre à jour vos paquets zsh.

Pour disposer d'un état détaillé sur la sécurité de zsh, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/zsh.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.