Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3801-1 ruby-zip

Bulletin d'alerte Debian

DSA-3801-1 ruby-zip -- Mise à jour de sécurité

Date du rapport :

4 mars 2017

Paquets concernés :

ruby-zip

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 856269.
Dans le dictionnaire CVE du Mitre : CVE-2017-5946.

Plus de précisions :

ruby-zip, un module Ruby pour la lecture et l'écriture de fichiers zip, est prédisposé à une vulnérabilité de traversée de répertoires. Un attaquant peut tirer avantage de ce défaut pour écraser des fichiers arbitraires lors de l'extraction d'archives grâce à un double point (..) dans le nom du fichier extrait.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.1.6-1+deb8u1.

Pour la prochaine distribution stable (Stretch), ce problème a été corrigé dans la version 1.2.0-1.1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.0-1.1.

Nous vous recommandons de mettre à jour vos paquets ruby-zip.