Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3915-1 ruby-mixlib-archive

Bulletin d'alerte Debian

DSA-3915-1 ruby-mixlib-archive -- Mise à jour de sécurité

Date du rapport :

20 juillet 2017

Paquets concernés :

ruby-mixlib-archive

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 868572.
Dans le dictionnaire CVE du Mitre : CVE-2017-1000026.

Plus de précisions :

ruby-mixlib-archive, une bibliothèque de Chef Software utilisée pour la gestion de divers formats d'archive, était vulnérable à une attaque de traversée de répertoires. Cela permettait à des attaquants d'écraser des fichiers arbitraires en utilisant une archive tar malveillante contenant « .. » dans ses entrées.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 0.2.0-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ruby-mixlib-archive.