Debian セキュリティ勧告

DSA-2915-1 dpkg -- セキュリティ更新

報告日時:
2014-04-28
影響を受けるパッケージ:
dpkg
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-0471.
詳細:

Jakub Wilk さんが、dpkg がC流のファイル名引用を正しく解析していないことを発見しました。 ソースパッケージの展開時にパスのトラバースを許し、 ソースを展開しているディレクトリの外側でのファイル作成につながります。

安定版 (stable) ディストリビューション (wheezy) への更新には、セキュリティではないポイントリリースの 7.5向けの変更が盛り込まれています。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.15.9 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.16.13 で修正されています。

テスト版 (testing) ディストリビューション (jessie) ではこの問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.17.8 で修正される予定です。

直ちに dpkg パッケージをアップグレードすることを勧めます。