Информация по безопасности / 2011 / Информация о безопасности -- DSA-2142-1 dpkg

Рекомендация Debian по безопасности

DSA-2142-1 dpkg -- обход каталога

Дата сообщения:

06.01.2011

Затронутые пакеты:

dpkg

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2010-1679.

Более подробная информация:

Якуб Уилк обнаружил, что компонент dpkg-source из состава dpkg, системы управления пакетами Debian, неправильно обрабатывает пути в заплатах из пакетов с исходным кодом, что может приводить к обходу каталога. Кроме того, Рафаэль Герцог обнаружил, что программа переходит по символьным ссылкам в каталоге .pc, что тоже может приводить к обходу каталога.

Обе проблемы касаются только пакетов с исходным кодом, использующим формат "3.0 quilt" для их распаковки.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 1.14.31.

В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы будут исправлены позже.

Рекомендуется обновить пакеты dpkg.

Дополнительная информация о рекомендациях по безопасности Debian, том, как применять данные обновления, а также часто задаваемые вопросы и ответы на них можно найти по следующему адресу: https://www.debian.org/security/