2011年1月 7日

[debian-users:54774] [Translate] [SECURITY] [DSA-2142-1] New dpkg packages fix directory

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を
確認
ください。
------>8------------>8------------>8------------>8----------
-->8-

- ----------------------------------------------------------

---------------
Debian Security Advisory DSA-2142-1 securi
ty@xxxxx
http://www.debian.org/security/ Rap
hael Geissert
January 06, 2011 http://www.debian.org
/security/faq
- ----------------------------------------------------------
---------------

Package : dpkg
Vulnerability : ディレクトリトラバーサル
Problem type : ローカル
Debian-specific: いいえ
CVE ID : CVE-2010-1679

Jakub Wilk さんにより、Debian パッケージ管理システム dpkg の

dpkg-source コンポーネントがソースパッケージのパッチのパスを

切に扱っていないため、ディレクトリのトラバースが可能であるこ

が発見されました。
Raphaël Hertzog さんがさらに .pc ディレクトリのシンボリ

クリンクが手繰られるため、これもディレクトリトラバースに悪用

能であることが発見されました。

何れの問題も、伸張時ソースパッケージが "3.0 quilt" フォーマ
ット
の場合にのみ影響します。

安定版 (stable) ディストリビューション (lenny) では、これら
の問
題はバージョン 1.14.31 で修正されています。

テスト版 (squeeze) および不安定版 (unstable) ディストリビュ
ーシ
ョンでは、これらの問題は近く修正予定です。

直ぐに dpkg パッケージをアップグレードすることを勧めます。

Debian Security Advisories に関する説明、これらの更新をシス
テム
に適用する方法、FAQ などは http://www.debian.org/security/
を参
照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8----------
-->8-
--
Seiji Kaneko

投稿者 xml-rpc : 2011年1月 7日 23:45
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/101151
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。