Bulletin d'alerte Debian
DSA-3915-1 ruby-mixlib-archive -- Mise à jour de sécurité
- Date du rapport :
- 20 juillet 2017
- Paquets concernés :
- ruby-mixlib-archive
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 868572.
Dans le dictionnaire CVE du Mitre : CVE-2017-1000026. - Plus de précisions :
-
ruby-mixlib-archive, une bibliothèque de Chef Software utilisée pour la gestion de divers formats d'archive, était vulnérable à une attaque de traversée de répertoires. Cela permettait à des attaquants d'écraser des fichiers arbitraires en utilisant une archive tar malveillante contenant « .. » dans ses entrées.
Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 0.2.0-1+deb9u1.
Nous vous recommandons de mettre à jour vos paquets ruby-mixlib-archive.