Информация по безопасности / 2021 / Информация о безопасности -- DSA-4967-1 squashfs-tools

Рекомендация Debian по безопасности

DSA-4967-1 squashfs-tools -- обновление безопасности

Дата сообщения:

04.09.2021

Затронутые пакеты:

squashfs-tools

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2021-40153.

Более подробная информация:

Этьен Сталман обнаржил, что unsquashfs из squashfs-tools, набора инструментов для создания и извлечения файловых систем Squashfs, не выполняет проверку имён файлов на переход за пределы целевого каталога. Злоумышленник может использовать эту уязвимость для записи произвольных файлов в файловой системе при запуске обработки специально сформированного образа Squashfs.

В предыдущем стабильном выпуске (buster) эта проблема была исправлена в версии 1:4.3-12+deb10u1.

В стабильном выпуске (bullseye) эта проблема была исправлена в версии 1:4.4-2+deb11u1.

Рекомендуется обновить пакеты squashfs-tools.

С подробным статусом поддержки безопасности squashfs-tools можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/squashfs-tools