Bulletin d'alerte Debian

DLA-2621-1 php-pear -- Mise à jour de sécurité pour LTS

Date du rapport :
8 avril 2021
Paquets concernés :
php-pear
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 980428.
Dans le dictionnaire CVE du Mitre : CVE-2020-36193.
Plus de précisions :

Une vulnérabilité a été découverte dans php-pear qui fournit les paquets principaux de PEAR (PHP extension et Application Repository). Tar.php dans Archive_Tar permet des opérations d’écriture avec traversée de répertoires à cause d’une vérification déficiente de lien symbolique, un problème relatif au CVE-2020-28948. Un attaquant pourrait augmenter ses privilèges en écrasant des fichiers en dehors du répertoire d’extraction à l’aide d’une archive .tar contrefaite.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 1:1.10.1+submodules+notgz-9+deb9u3.

Nous vous recommandons de mettre à jour vos paquets php-pear.

Pour disposer d'un état détaillé sur la sécurité de php-pear, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/php-pear.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.