[Fedora] Schwachstelle in dpkg – FEDORA-2010-4410

[Fedora] Schwachstelle in dpkg - FEDORA-2010-4410

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-0396 – Directory-Traversal-Schwachstelle in dpkg

In dem Paketmanager dpkg wurde eine Directory-Traversal-Schwachstelle
entdeckt. Dabei werden die Pfade bei der Installation oder
Deinstallation von Dateien nicht richtig geprueft. Ein entfernter
Angreifer kann dadurch mit einem manipulierten *.deb-Paket Dateien
ausserhalb des zulaessigen Bereiches loeschen oder ueberschreiben.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket dpkg

Fedora 11
Fedora 12
Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/037592.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/036717.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-March/037617.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-4410
2010-03-13 01:33:03
– ——————————————————————————–

Name : dpkg
Product : Fedora 13
Version : 1.15.5.6
Release : 4.fc13
URL : http://packages.debian.org/unstable/admin/dpkg
Summary : Package maintenance system for Debian Linux
Description :

This package contains the tools (including dpkg-source) required
to unpack, build and upload Debian source packages.

This package also contains the programs dpkg which used to handle the
installation and removal of packages on a Debian system.

This package also contains dselect, an interface for managing the
installation and removal of packages on the system.

dpkg and dselect will certainly be non-functional on a rpm-based system
because packages dependencies will likely be unmet.

– ——————————————————————————–
Update Information:

This update fixes CVE-2010-0396 – dpkg path traversal issue *
http://www.debian.org/security/2010/dsa-2011 *
http://seclists.org/fulldisclosure/2010/Mar/201
– ——————————————————————————–
References:

[ 1 ] Bug #572522 – CVE-2010-0396 dpkg: path traversal issue
https://bugzilla.redhat.com/show_bug.cgi?id=572522
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update dpkg’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLp2A8WmhIvjFb90URAtjoAKCHaKE3zZN4HDeZuD9XCVbhGX0enwCeL3rV
r1taMjjbzIModtH+kDhWB3E=
=hB9d
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben