Bulletin d'alerte Debian

DLA-2789-1 squashfs-tools -- Mise à jour de sécurité pour LTS

Date du rapport :
20 octobre 2021
Paquets concernés :
squashfs-tools
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-41072.
Plus de précisions :

Richard Weinberger a signalé qu’unsquashfs dans squashfs-tools, des outils pour créer et extraire des systèmes de fichiers Squashfs, ne vérifie pas si des noms de fichier sont dupliqués dans un répertoire. Un attaquant peut exploiter ce défaut pour écrire des fichiers arbitraires si une image Squashfs mal formée est traitée.

Pour Debian 9 « Stretch », ce problème a été corrigé dans la version 1:4.3-3+deb9u3.

Nous vous recommandons de mettre à jour vos paquets squashfs-tools.

Pour disposer d'un état détaillé sur la sécurité de squashfs-tools, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/squashfs-tools.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.