Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-4967-1 squashfs-tools

Bulletin d'alerte Debian

DSA-4967-1 squashfs-tools -- Mise à jour de sécurité

Date du rapport :

4 septembre 2021

Paquets concernés :

squashfs-tools

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-40153.

Plus de précisions :

Etienne Stalmans a découvert qu'unsquashfs dans squashfs-tools, l'outil de création et d'extraction de système de fichiers Squashfs, ne valide pas les noms de fichier pour une traversée en dehors du répertoire de destination. Un attaquant peut tirer avantage de ce défaut pour écrire des fichiers arbitraires sur le système de fichiers lors du traitement d'une image Squashfs mal formée.

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 1:4.3-12+deb10u1.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 1:4.4-2+deb11u1.

Nous vous recommandons de mettre à jour vos paquets squashfs-tools.

Pour disposer d'un état détaillé sur la sécurité de squashfs-tools, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/squashfs-tools.