Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-5008-1 node-tar

Bulletin d'alerte Debian

DSA-5008-1 node-tar -- Mise à jour de sécurité

Date du rapport :

11 novembre 2021

Paquets concernés :

node-tar

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-37701, CVE-2021-37712.

Plus de précisions :

Les protections d'extraction de lien symbolique dans node-tar, un module d'archives Tar pour Node.js, pourraient être contournées, permettant à une archive Tar malveillante de créer un lien symbolique vers un emplacement arbitraire.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 6.0.5+ds1+~cs11.3.9-1+deb11u2.

Nous vous recommandons de mettre à jour vos paquets node-tar.

Pour disposer d'un état détaillé sur la sécurité de node-tar, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/node-tar.