Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2142-1 dpkg

Bulletin d'alerte Debian

DSA-2142-1 dpkg -- Traversée de répertoires

Date du rapport :

6 janvier 2011

Paquets concernés :

dpkg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2010-1679.

Plus de précisions :

Jakub Wilk a découvert que le composant dpkg-source de dpkg, le système de gestion de paquet Debian, ne traite pas correctement les chemins dans les correctifs de paquets sources, ce qui peut lui faire traverser des répertoires. Raphaël Hertzog a de plus découvert que les liens symboliques du répertoire .pc sont suivis, ce qui peut aussi lui faire traverser des répertoires.

Les deux problèmes ne touchent que les paquets sources utilisant le format « 3.0 quilt » au moment du dépaquetage.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1.14.31.

Pour la distribution unstable (Sid) et la distribution testing (Squeeze), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour votre paquet dpkg.

De plus amples renseignements à propos des annonces de sécurité Debian, la méthode pour appliquer ces mises à jour sur votre système et les questions récurrentes peuvent être consultés en : https://www.debian.org/security/