Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4255-1 ant

Aviso de seguridad de Debian

DSA-4255-1 ant -- actualización de seguridad

Fecha del informe:

24 de jul de 2018

Paquetes afectados:

ant

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2018-10886.

Información adicional:

Danny Grander informó de que las tareas unzip y untar de ant, una herramienta de compilación basada en Java y similar a make, permiten la extracción de ficheros a un directorio externo a un directorio objetivo. Un atacante puede aprovechar este defecto, realizando una compilación ant con un archivo Zip o Tar modificado de una manera determinada, para modificar cualquier fichero que el usuario bajo cuya identidad se ejecuta ant esté autorizado a modificar.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 1.9.9-1+deb9u1.

Le recomendamos que actualice los paquetes de ant.

Para información detallada sobre el estado de seguridad de ant consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/ant