Säkerhetsbulletin från Debian

DSA-2915-1 dpkg -- säkerhetsuppdatering

Rapporterat den:
2014-04-28
Berörda paket:
dpkg
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0471.
Ytterligare information:

Jacub Wilk upptäckte att dpkg inte tolkar citat i C-stil av filnamn, vilket tillåter kataloger att traverseras vid uppackning av ett källkodspaket - vilket kan leda till skapande av filer utanför mappen där källkoden packas upp.

Uppdateringen till den stabila utgåvan (Wheezy) lägger även till icke-säkerhetsuppdateringar som var täntka för punktutgåvan 7.5.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1.15.9.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.16.13.

För uttestningsutgåvan (Jessie), kommer detta problem rättas inom kort.

För den instabila utgåvan (Sid), kommer detta problem att rättas i version 1.17.8.

Vi rekommenderar att ni uppgraderar era dpkg-paket.