Debians sikkerhedsbulletin

DSA-2915-1 dpkg -- sikkerhedsopdatering

Rapporteret den:
28. apr 2014
Berørte pakker:
dpkg
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-0471.
Yderligere oplysninger:

Jakub Wilk opdagede at dpkg ikke på korrekt vis fortolkede filnavne omgivet af anførselstegn på C-stil, hvilket gjorde det muligt at gennemløbe stier, når en kildekodepakke blev udpakket, førende til oprettede af filer uden for den mappe hvori kildekoden blev udpakket.

Opdateringen til den stabile distribution (wheezy) indeholder desuden ændringer som ikke er sikkerhedsrelaterede, som skulle have været medtaget i punktopdateringen til 7.5.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1.15.9.

I den stabile distribution (wheezy), er dette problem rettet i version 1.16.13.

I distributionen testing (jessie), vil dette problem snart blive rettet.

I den ustabile distribution (sid), this problem will be fixed in version 1.17.8.

Vi anbefaler at du opgraderer dine dpkg-pakker.