Aviso de seguridad de Debian

DSA-4227-1 plexus-archiver -- actualización de seguridad

Fecha del informe:
12 de jun de 2018
Paquetes afectados:
plexus-archiver
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 900953.
En el diccionario CVE de Mitre: CVE-2018-1002200.
Información adicional:

Danny Grander descubrió un defecto de escalado de directorios en plexus-archiver, una extensión («plugin») Archiver para el sistema Plexus Compiler, que permite que un atacante sobreescriba cualquier fichero que pueda escribir el usuario que está realizando la extracción, por medio de un archivo Zip manipulado de una manera determinada.

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 1.2-1+deb8u1.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2.2-1+deb9u1.

Le recomendamos que actualice los paquetes de plexus-archiver.

Para información detallada sobre el estado de seguridad de plexus-archiver consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/plexus-archiver