Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3289-1 p7zip

Säkerhetsbulletin från Debian

DSA-3289-1 p7zip -- säkerhetsuppdatering

Rapporterat den:

2015-06-15

Berörda paket:

p7zip

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 774660.
I Mitres CVE-förteckning: CVE-2015-1038.

Ytterligare information:

Alexander Cherepanov upptäckte att p7zip är känsligt för en katalogtraverseringssårbarhet. När man extraherar ett arkiv kommer symboliska länkar att extraheras och sedan följas om de refereras i ytterligare inlägg. Detta kan exploateras av ett illasinnat arkiv för att skriva filer utanför aktuell mapp.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 9.20.1~dfsg.1-4+deb7u1.

För den stabila utgåvan (Jessie) har detta problem rättats i version 9.20.1~dfsg.1-4.1+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 9.20.1~dfsg.1-4.2.

Vi rekommenderar att ni uppgraderar era p7zip-paket.