Säkerhetsbulletin från Debian

DSA-2011-1 dpkg -- sökvägstraversering

Rapporterat den:
2010-03-10
Berörda paket:
dpkg
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2010-0396.
Ytterligare information:

William Grant upptäckte att komponenten dpkg-source i dpkg, lågnivåinfrastrukturen för hantering av installation och avinstallation av Debians mjukvarupaket, är sårbar för sökvägstraverseringsangrepp. Ett specialskrivet Debiankällkodspaket kan leda till modifiering av filer utanför målkatalogen vid uppackning av paketinnehållet.

För den stabila utgåvan (Lenny) har detta problem rättats i version 1.14.29.

För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era dpkg-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29.dsc
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg-dev_1.14.29_all.deb
Alpha:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_alpha.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_amd64.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_arm.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_armel.deb
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_hppa.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_i386.deb
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_ia64.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_mips.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_mipsel.deb
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_powerpc.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_s390.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/dpkg/dpkg_1.14.29_sparc.deb
http://security.debian.org/pool/updates/main/d/dpkg/dselect_1.14.29_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.