Debians sikkerhedsbulletin
DSA-2142-1 dpkg -- mappegennemløb
- Rapporteret den:
- 6. jan 2011
- Berørte pakker:
- dpkg
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2010-1679.
- Yderligere oplysninger:
-
Jakub Wilk opdagede at komponenten dpkg-source i dpkg, Debians pakkehåndteringssystem, ikke på korrekt vis håndterede stier i patches hørende til kildekodepakker, hvilket kunne gøre det muligt at gennemløbe mapper. Raphaël Hertzog opdagede yderligere, at symbolske links i mappen .pc følges, hvilket også kunne muliggøre mappegennemløb.
Begge problemer påvirker kun kildekodepakker som anvender
3.0 quilt
-formatet på udpakningstidspunktet.I den stabile distribution (lenny), er disse problemer rettet i version 1.14.31.
I distributionen testing (squeeze) og i den ustabile distributions (sid), vil disse problemer snart blive rettet.
Vi anbefaler at du opgraderer dine dpkg-pakker.
Flere oplysninger om Debian Security Advisories, hvordan man installerer disse opdateringer på sit system samt ofte stillede spørgsmål findes på: https://www.debian.org/security/