DSA-3562-1 tardiff -- actualización de seguridad

1 envío / 0 nuevos
#1 Sáb, 14/05/2016 - 16:22
kamikaze
Imagen de kamikaze
Desconectado/a
colaborador
se unió: 04/03/16

DSA-3562-1 tardiff -- actualización de seguridad

Fecha del reporte:
 01 de Mayo 2016
 
Paquete afectado:
 tardiff
 
Vulnerable:
 Sí
 
Referencia a la base de datos de seguridad:
 En Mitre: CVE-2015-0857, CVE-2015-0858.
 
Más información:

 Varias vulnerabilidades fueron descubiertas en tardiff, una herramienta de comparación de archivos .tar . El proyecto "Common Vulnerabilities and Exposures" identifica los siguientes problemas:

  • CVE-2015-0857

    Rainer Mueller y Florian Weimer descubrierón que tardiff es propenso a las inyecciones de comando de consola mediante el intérprete de meta-caracteres en los nombres de archivo que contienen los archivos .tar o mediante el intérprete de meta-caracteres en el propio nombre del archivo .tar .

  • CVE-2015-0858

    Florian Weimer descubrió que tardiff utiliza directorios temporales previsibles para desempacar archivos comprimidos. Un usuario malintencionado puede utilizar este error para sobrescribir los archivos con los permisos del usuario que ejecuta la herramienta de línea de comandos tardiff.

 Para la distribución estable (jessie), este problema ha sido corregido en la versión  0.1-2+deb8u2.

 Para la distribución inestable (sid), este problema ha sido corregido en la versión  0.1-5 y parcialmente en versiones anteriores.

 Le recomendamos que actualice el paquete tardiff .

 Original (en inglés): https://www.debian.org/security/2016/dsa-3562