Numéro : AV16-104
Date : Le 21 juin 2016
Objet
Le présent avis a pour objet d'attirer l'attention sur une mise à jour de sécurité pour libarchive.
Évaluation
Une mise à jour de sécurité, qui adresse plusieurs vulnérabilités, a été émise pour libarchive. L'exploitation de ces vulnérabilités peuvent permettre à un attaquant d'exécuter du code arbitraire et ce à distance. La librairie libarchive qui est inclue et utilisée par plusieurs matériels et logiciels informatique.
Versions affectées: libarchive versions antérieures à 3.2.1
Références CVE: CVE-2016-4300, CVE-2016-4301, CVE-2016-4302
Mesure suggérée
Le CCRIC recommande que les administrateurs des systèmes déterminent les produits touchés et leur possible interdépendance avec les services essentiels de l'organisme et suivent leur processus de gestion des correctifs en conséquence.
Références
Cisco Talos (rapport de vulnérabilité):
http://blog.talosintel.com/2016/06/the-poisoned-archives.html (en anglais)
libarchive:
http://libarchive.org (en Anglais)