セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2953-1 dpkg

Debian セキュリティ勧告

DSA-2953-1 dpkg -- セキュリティ更新

報告日時:

2014-06-08

影響を受けるパッケージ:

dpkg

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 746498, バグ 749183.
Mitre の CVE 辞書: CVE-2014-3864, CVE-2014-3865.

詳細:

dpkg に複数の脆弱性が発見されています。 特別に細工したパッチファイルを収録したソースパッケージの展開時に、 パストラバーサル経由でのファイル書き換えを許します。

この更新は旧安定版 (oldstable) ディストリビューション (squeeze) のセキュリティサポート終了前に発表する予定だったため、 例外としてセキュリティアーカイブ経由でのリリースとなっています。 ただし、さらなる更新の予定はありません。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.15.11 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.16.15 で修正されています。

テスト版 (testing) ディストリビューション (jessie) ではこの問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.17.10 で修正されています。

直ちに dpkg パッケージをアップグレードすることを勧めます。