Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3217-1 dpkg

Bulletin d'alerte Debian

DSA-3217-1 dpkg -- Mise à jour de sécurité

Date du rapport :

9 avril 2015

Paquets concernés :

dpkg

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-0840.

Plus de précisions :

Jann Horn a découvert que la vérification de l'intégrité des paquets source dans dpkg-source peut être contournée à l'aide d'un fichier de contrôle source Debian (.dsc) contrefait pour l'occasion. Notez que ce défaut ne concerne que l'extraction de paquets source Debian locaux avec dpkg-source mais pas l'installation de paquets de l'archive Debian.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.16.16. Cette mise à jour comprend aussi des corrections non liées à la sécurité prévues auparavant pour la prochaine version intermédiaire de Wheezy. Consultez la liste des changements de Debian pour plus de détails.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.17.25.

Nous vous recommandons de mettre à jour vos paquets dpkg.