セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2142-1 dpkg

Debian セキュリティ勧告

DSA-2142-1 dpkg -- ディレクトリトラバーサル

報告日時:

2011-01-06

影響を受けるパッケージ:

dpkg

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2010-1679.

詳細:

Jakub Wilk さんにより、Debian パッケージ管理シ ステム dpkg のdpkg-source コンポーネントがソースパッケージ のパッチのパスを適切に扱っていないため、ディレクトリのトラ バースが可能であることが発見されました。 Raphaël Hertzog さんがさらに .pc ディレクトリのシンボリックリンク が手繰られるため、これもディレクトリトラバースに悪用可 能であることが発見されました。

何れの問題も、伸張時ソースパッケージが "3.0 quilt" フォーマット の場合にのみ影響します。

安定版 (stable) ディストリビューション (lenny) では、これらの問 題はバージョン 1.14.31 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビューション では、これらの問題は近く修正予定です。

直ぐに dpkg パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの 更新をシステム に適用する方法、FAQ などは https://www.debian.org/security/ を参 照ください。