Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3801-1 ruby-zip

Säkerhetsbulletin från Debian

DSA-3801-1 ruby-zip -- säkerhetsuppdatering

Rapporterat den:

2017-03-04

Berörda paket:

ruby-zip

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 856269.
I Mitres CVE-förteckning: CVE-2017-5946.

Ytterligare information:

Man har upptäckt att ruby-zip, en Ruby-modul för läsning och skrivning av zipfiler, är sårbar för en katalogtraverseringssårbarhet. En angripare kan dra fördel av denna brist för att skriva över godtyckliga filer under arkivextrahering via en .. (punkt punkt) i ett extraherat filnamn.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.1.6-1+deb8u1.

För den kommande stabila utgåvan (Stretch) har detta problem rättats i version 1.2.0-1.1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.2.0-1.1.

Vi rekommenderar att ni uppgraderar era ruby-zip-paket.