—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-1679 – Schwachstelle in dpkg vor Version 1.14.31

Die ‘dpgk-source’-Komponente von dpkg enthaelt eine Schwachstelle. Durch
fehlerhafte Behandlung von Pfaden bei Patches in Quell-Paketen ist es
moeglich, auf beliebige Verzeichnisse zuzugreifen (Directory Traversal).
Das gleiche Problem tritt auf, wenn im pc-Verzeichnis symbolische Links
verwendet werden. Eine Voraussetzung zur Ausnutzung der Schwachstelle
ist es, dass das “3.0 quilt”-Format von den Quell-Paketen genutzt wird.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket dpkg in der stable Distribution (lenny) vor Version 1.14.31
Fuer die testing und unstable Distribution liegen noch keine Patches
vor.

Stable Distribution (lenny)
Testing Distribution (squeeze)
Unstable Distribution (sid)

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, B.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

– – ————————————————————————-
Debian Security Advisory DSA-2142-1 security@debian.org
http://www.debian.org/security/ Raphael Geissert
January 06, 2011 http://www.debian.org/security/faq
– – ————————————————————————-

Package : dpkg
Vulnerability : directory traversal
Problem type : local
Debian-specific: no
CVE ID : CVE-2010-1679

Jakub Wilk discovered that the dpkg-source component of dpkg, the Debian
package management system, doesn’t correctly handle paths in patches of
source packages, which could make it traverse directories.
Raphaël Hertzog additionally discovered that symbolic links in the .pc
directory are followed, which could make it traverse directories too.

Both issues only affect source packages using the “3.0 quilt” format at
unpack-time.

For the stable distribution (lenny), these problems have been fixed in
version 1.14.31.
For the testing (squeeze) and unstable distributions (sid),
these problems will be fixed soon.

We recommend that you upgrade your dpkg packages.

Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/

Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.10 (GNU/Linux)

iEUEARECAAYFAk0mB+AACgkQYy49rUbZzlpQ5gCUChzI+T41FunEu2V2tDoDx7v9
GACcDyvszgfZJgTBCOJYzZwpS9Z3fFc=
=Liit
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNJwEDAAoJEJtyb8U7iGZB7l8IAJtRVZe3xJtTSHrkGzKkoTCZ
epmv+yKJmNiVCz2bu1Gi5iCjNWZU8SjDpuFpOhN9SNUoqqNnjqSq9O3SD9YZATfN
V3gNRv+dxHKykYtwoZ54gSSdJrIs5nQ7RBgHZLloRwjSm8heiJ3wd2b9XebRa6fN
srSFKa9UJPBZIE8ZaI2yzZw/gDepyd82VAv+VL50SpuI9RYqizM5IfsOXILv+uRZ
1aOzqYPZWqobr/LIBbIcglgGpb/lV2LiRarqSZ1y2ZBC0AHNKKut/8/lJVeAvD5e
hYeIyUZdipNtiRcwWbS9NcQW5qATLbPXkEt0ZeMmYFips7w0mACqSODYSjyFW5A=
=kFb9
—–END PGP SIGNATURE—–