Bulletin d'alerte Debian

DSA-4987-1 squashfs-tools -- Mise à jour de sécurité

Date du rapport :
15 octobre 2021
Paquets concernés :
squashfs-tools
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 994262.
Dans le dictionnaire CVE du Mitre : CVE-2021-41072.
Plus de précisions :

Richard Weinberger a signalé qu'unsquashfs dans squashfs-tools, l'outil de création et d'extraction de système de fichiers SquashFS, ne vérifie pas l'existence de noms de fichier dupliqués dans un répertoire. Un attaquant peut tirer avantage de ce défaut pour écrire dans des fichiers arbitraires dans le système de fichiers lors du traitement d'une image SquashFS mal formée.

Pour la distribution oldstable (Buster), ce problème a été corrigé dans la version 1:4.3-12+deb10u2.

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 1:4.4-2+deb11u2.

Nous vous recommandons de mettre à jour vos paquets squashfs-tools.

Pour disposer d'un état détaillé sur la sécurité de squashfs-tools, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/squashfs-tools.