Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
dpkg
(any)
Описание
Якуб Уилк обнаружил, что dpkg неправильно проводит грамматический разбор закавычивания имён
файлов в стиле C, позволяя изменять путь при распаковку
пакета с исходным кодом, что приводит к созданию файлов за пределами каталога
распаковываемого исходного кода.
Обновление для стабильного выпуска (wheezy) включает в себя
изменения, не касающиеся безопасности, которые предназначались для редакции 7.5.
В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в
версии 1.15.9.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 1.16.13.
В тестируемом выпуске (jessie) эта проблема будет исправлена позже.
В нестабильном выпуске (sid) эта проблема будет исправлена в
версии 1.17.8.
Рекомендуется обновить пакеты dpkg.
файлов в стиле C, позволяя изменять путь при распаковку
пакета с исходным кодом, что приводит к созданию файлов за пределами каталога
распаковываемого исходного кода.
Обновление для стабильного выпуска (wheezy) включает в себя
изменения, не касающиеся безопасности, которые предназначались для редакции 7.5.
В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в
версии 1.15.9.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 1.16.13.
В тестируемом выпуске (jessie) эта проблема будет исправлена позже.
В нестабильном выпуске (sid) эта проблема будет исправлена в
версии 1.17.8.
Рекомендуется обновить пакеты dpkg.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
dpkg - 1.15.9
Debian GNU/Linux 7:
noarch:
dpkg - 1.16.13
Debian GNU/Linux 6:
noarch:
dpkg - 1.15.9
Debian GNU/Linux 7:
noarch:
dpkg - 1.16.13
Ссылки
http://www.debian.org/security/dsa-2915/
Источник: CVE
Наименование: CVE-2014-0471
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0471
Источник: CVE
Наименование: CVE-2014-0471
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0471