Debians sikkerhedsbulletin

DSA-5123-1 xz-utils -- sikkerhedsopdatering

Rapporteret den:
18. apr 2022
Berørte pakker:
xz-utils
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 1009167.
I Mitres CVE-ordbog: CVE-2022-1271.
Yderligere oplysninger:

cleemy desu wayo rapporterede at ukorrekt håndtering af filnavne af xzgrep i xz-utils, komprimeringsværktøjer til XZ-formatet, kunne medføre overskrivning af vilkårlige filer eller udførelse af vilkårlig kode, hvis en fil med et særligt fremstillet filnavn blev behandlet.

I den gamle stabile distribution (buster), er dette problem rettet i version 5.2.4-1+deb10u1.

I den stabile distribution (bullseye), er dette problem rettet i version 5.2.5-2.1~deb11u1.

Vi anbefaler at du opgraderer dine xz-utils-pakker.

For detaljeret sikkerhedsstatus vedrørende xz-utils, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/xz-utils