Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-4010-1 git-annex

Bulletin d'alerte Debian

DSA-4010-1 git-annex -- Mise à jour de sécurité

Date du rapport :

30 octobre 2017

Paquets concernés :

git-annex

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 873088.
Dans le dictionnaire CVE du Mitre : CVE-2017-12976.

Plus de précisions :

git-annex, un outil pour gérer des fichiers avec git sans vérifier leur contenu, ne gérait pas correctement des URL ssh:// construites de façon malveillante. Cela permettait à un attaquant d'exécuter des commandes arbitraires de l'interpréteur.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 5.20141125+deb8u1.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 6.20170101-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets git-annex.