Säkerhetsbulletin från Debian

DSA-4300-1 libarchive-zip-perl -- säkerhetsuppdatering

Rapporterat den:
2018-09-22
Berörda paket:
libarchive-zip-perl
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 902882.
I Mitres CVE-förteckning: CVE-2018-10860.
Ytterligare information:

Man har upptäckt att Archive::Zip, en perl-modul för manipulering av ZIP-arkiv, är sårbar för en katalogtraversering. En angripare som har möjlighet att tillhandahålla ett speciellt skapat arkiv för behandling kan dra fördel av denna brist för att skriva över godtyckliga filer under arkivextrahering.

För den stabila utgåvan (Stretch) har detta problem rättats i version 1.59-1+deb9u1.

Vi rekommenderar att ni uppgraderar era libarchive-zip-perl-paket.

För detaljerad säkerhetsstatus om libarchive-zip-perl vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/libarchive-zip-perl