Bulletin d'alerte Debian

DSA-4083-1 poco -- Mise à jour de sécurité

Date du rapport :
11 janvier 2018
Paquets concernés :
poco
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-1000472.
Plus de précisions :

Stephan Zeisberg a découvert que poco, un ensemble de bibliothèques de classes C++ libres, ne validait pas correctement les chemins de fichier dans les archives ZIP. Un attaquant pourrait exploiter ce défaut pour créer ou écraser des fichiers arbitraires.

Pour la distribution oldstable (Jessie), ce problème a été corrigé dans la version 1.3.6p1-5+deb8u1.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 1.7.6+dfsg1-5+deb9u1.

Nous vous recommandons de mettre à jour vos paquets poco.

Pour disposer d'un état détaillé sur la sécurité de poco, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/poco