Sikkerhedsoplysninger / 2021 / Sikkerhedsoplysninger -- DSA-4967-1 squashfs-tools

Debians sikkerhedsbulletin

DSA-4967-1 squashfs-tools -- sikkerhedsopdatering

Rapporteret den:

4. sep 2021

Berørte pakker:

squashfs-tools

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2021-40153.

Yderligere oplysninger:

Etienne Stalmans opdagede at unsquashfs i squashfs-tools, værktøjerne til at oprette og udtrække Squashfs-filsystemer, ikke validerede filnavne til gennemløb udenfor målmappen. En angriber kunne drage nytte af fejlen til skrivning til vilkårlige filer på filsystemet, hvis et misdannet Squashfs-aftryk blev behandlet.

I den gamle stabile distribution (buster), er dette problem rettet i version 1:4.3-12+deb10u1.

I den stabile distribution (bullseye), er dette problem rettet i version 1:4.4-2+deb11u1.

Vi anbefaler at du opgraderer dine squashfs-tools-pakker.

For detaljeret sikkerhedsstatus vedrørende squashfs-tools, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/squashfs-tools