Bulletin d'alerte Debian

DLA-220-1 dpkg -- Mise à jour de sécurité pour LTS

Date du rapport :
15 mai 2015
Paquets concernés :
dpkg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 617923, Bogue 695919.
Dans le dictionnaire CVE du Mitre : CVE-2015-0840.
Plus de précisions :

Jann Horn a découvert que la vérification de l'intégrité des paquets source dans dpkg-source peut être contournée à l'aide d'un fichier de contrôle source Debian (.dsc) contrefait pour l'occasion. Notez que ce défaut ne concerne que l'extraction de paquets source Debian locaux avec dpkg-source mais pas l'installation de paquets de l'archive Debian.

Pour la distribution oldoldstable (Squeeze), ce problème a été corrigé dans la version 1.15.12. Cela corrige aussi un bogue similaire découvert par Ansgar Burchardt et un bogue dans le même secteur découvert par Roger Leigh.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.16.16.

La distribution stable (Jessie) n'était pas affectée par ce problème car il a été corrigé avant sa publication.