Säkerhetsbulletin från Debian
DSA-3217-1 dpkg -- säkerhetsuppdatering
- Rapporterat den:
- 2015-04-09
- Berörda paket:
- dpkg
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-0840.
- Ytterligare information:
-
Jann Horn upptäckte att integritetsverifieringen av källkodspaket i dpkg-source kan förbigås med hjälp av en speciellt skapad Debian källkodskontrollfil (.dsc - Debian source control file). Notera att denna brist endast påverkar extrahering av lokala Debian källkodspaket via dpkg-source, och inte installation av paket från Debianarkivet.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 1.16.16. Denna uppdatering inkluderar även icke-säkerhetsrelaterade förändringar som tidigare schemalagts för nästa punktutgåva av Wheezy. Se Debians förändringslogg för detaljer.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.17.25.
Vi rekommenderar att ni uppgraderar era dpkg-paket.