Bulletin d'alerte Debian
DSA-2011-1 dpkg -- Traversée de répertoires
- Date du rapport :
- 10 mars 2010
- Paquets concernés :
- dpkg
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2010-0396.
- Plus de précisions :
-
William Grant a découvert que le composant dpkg-source de dpkg, l'infrastructure de bas niveau pour traiter l'installation et la suppression de paquets logiciel Debian, est vulnérable aux attaques par traversée de répertoires. Un paquet Debian source contrefait pour l'occasion peut conduire à une modification de fichier en dehors du répertoire de destination lors de l'extraction du contenu du paquet.
Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1.14.29.
Pour les distributions testing (Squeeze) et unstable (Sid), ce problème sera corrigé prochainement.
Nous vous recommandons de mettre à jour vos paquets dpkg.
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29.dsc
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29.tar.gz
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg-dev_1.14.29_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_alpha.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_alpha.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_amd64.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_amd64.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_arm.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_arm.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_armel.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_armel.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_hppa.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_hppa.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_i386.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_i386.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_ia64.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_ia64.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_mips.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_mips.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_mipsel.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_mipsel.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_powerpc.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_powerpc.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_s390.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_s390.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_sparc.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_sparc.deb
- http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.