Säkerhetsbulletin från Debian

DSA-4537-1 file-roller -- säkerhetsuppdatering

Rapporterat den:
2019-09-28
Berörda paket:
file-roller
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-16680.
Ytterligare information:

Man har upptäckt att file-roller, en arkivhanterare för GNOME, inte hanterar extrahering av arkiv med en enkel ./../ i en sökväg ordentligt. En angripare med möjlighet att tillhandahålla ett speciellt skapat arkiv för behandling kan dra fördel av denna brist för att skriva över om en användare drar en specifik fil eller karta till en plats att extrahera till.

För den gamla stabila utgåvan (Stretch) har detta problem rättats i version 3.22.3-1+deb9u1.

Vi rekommenderar att ni uppgraderar era file-roller-paket.

För detaljerad säkerhetsstatus om file-roller vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/file-roller