Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3562-1 tardiff

Bulletin d'alerte Debian

DSA-3562-1 tardiff -- Mise à jour de sécurité

Date du rapport :

1^er mai 2016

Paquets concernés :

tardiff

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-0857, CVE-2015-0858.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans tardiff, un outil de comparaison d'archives tar. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-0857

  Rainer Mueller et Florian Weimer ont découvert que tardiff est prédisposé à des injections de commande d'interpréteur grâce à des métacaractères de l'interpréteur dans des noms de fichier dans des fichiers tar ou grâce à des métacaractères de l'interpréteur dans le nom du fichier tar lui-même.

• CVE-2015-0858

  Florian Weimer a découvert que tardiff utilise des répertoires temporaires prédictibles pour la décompression des archives tar. Un utilisateur malveillant peut utiliser ce défaut pour écraser des fichiers avec les droits de l'utilisateur qui exécute l'outil en ligne de commande tardiff.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 0.1-2+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 0.1-5 et partiellement dans des versions précédentes.

Nous vous recommandons de mettre à jour vos paquets tardiff.