Säkerhetsbulletin från Debian
DSA-4255-1 ant -- säkerhetsuppdatering
- Rapporterat den:
- 2018-07-24
- Berörda paket:
- ant
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2018-10886.
- Ytterligare information:
-
Danny Grander rapporterade att unzip och untar-uppgifterna i ant, ett Javabaserat byggverktyg som make, tillåter extrahering av filer utanför en målmapp. En angripare kan dra fördel av denna brist genom att skicka en speciellt skapad Zip- eller Tar-fil till ett ant-bygge för att skriva över vilken fil som helst som är skrivbar av användaren som kör ant.
För den stabila utgåvan (Stretch) har detta problem rättats i version 1.9.9-1+deb9u1.
Vi rekommenderar att ni uppgraderar era ant-paket.
För detaljerad säkerhetsstatus om ant vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/ant