[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:54774] [Translate] [SECURITY] [DSA-2142-1] New dpkg packages fix directory
かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を
確認
ください。
------>8------------>8------------>8------------>8----------
-->8-
- ----------------------------------------------------------
---------------
Debian Security Advisory DSA-2142-1 securi
ty@debian.org
http://www.debian.org/security/ Rap
hael Geissert
January 06, 2011 http://www.debian.org
/security/faq
- ----------------------------------------------------------
---------------
Package : dpkg
Vulnerability : ディレクトリトラバーサル
Problem type : ローカル
Debian-specific: いいえ
CVE ID : CVE-2010-1679
Jakub Wilk さんにより、Debian パッケージ管理システム dpkg の
dpkg-source コンポーネントがソースパッケージのパッチのパスを
適
切に扱っていないため、ディレクトリのトラバースが可能であるこ
と
が発見されました。
Raphaël Hertzog さんがさらに .pc ディレクトリのシンボリ
ッ
クリンクが手繰られるため、これもディレクトリトラバースに悪用
可
能であることが発見されました。
何れの問題も、伸張時ソースパッケージが "3.0 quilt" フォーマ
ット
の場合にのみ影響します。
安定版 (stable) ディストリビューション (lenny) では、これら
の問
題はバージョン 1.14.31 で修正されています。
テスト版 (squeeze) および不安定版 (unstable) ディストリビュ
ーシ
ョンでは、これらの問題は近く修正予定です。
直ぐに dpkg パッケージをアップグレードすることを勧めます。
Debian Security Advisories に関する説明、これらの更新をシス
テム
に適用する方法、FAQ などは http://www.debian.org/security/
を参
照ください。
Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8----------
-->8-
--
Seiji Kaneko