Bulletin d'alerte Debian

DSA-5123-1 xz-utils -- Mise à jour de sécurité

Date du rapport :
18 avril 2022
Paquets concernés :
xz-utils
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1009167.
Dans le dictionnaire CVE du Mitre : CVE-2022-1271.
Plus de précisions :

cleemy desu wayo a signalé qu'un traitement incorrect de noms de fichier par xzgrep dans xz-utils, les utilitaires de compression au format XZ, peut avoir pour conséquences l'écrasement de fichiers arbitraires ou l'exécution de code arbitraire lors du traitement d'un fichier dont le nom a été contrefait pour l'occasion.

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 5.2.4-1+deb10u1.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 5.2.5-2.1~deb11u1.

Nous vous recommandons de mettre à jour vos paquets xz-utils.

Pour disposer d'un état détaillé sur la sécurité de xz-utils, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/xz-utils.