Bulletin d'alerte Debian

DSA-2953-1 dpkg -- Mise à jour de sécurité

Date du rapport :
8 juin 2014
Paquets concernés :
dpkg
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 746498, Bogue 749183.
Dans le dictionnaire CVE du Mitre : CVE-2014-3864, CVE-2014-3865.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans dpkg qui permettent des modifications de fichiers par une traversée de répertoire lors de l'installation de paquets source avec des fichiers correctifs contrefaits pour l'occasion.

Cette mise à jour a été programmée avant la fin de la prise en charge de sécurité de l'ancienne distribution oldstable (Squeeze), et donc une exception a été faite et la mise à jour diffusée par l'archive de sécurité. Néanmoins, il n'y aura plus d'autres mises à jour.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.15.11.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.16.15.

Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.17.10.

Nous vous recommandons de mettre à jour vos paquets dpkg.