[Fedora] Schwachstelle in dpkg - FEDORA-2010-4410

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Mo Mär 22 13:19:08 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-0396 - Directory-Traversal-Schwachstelle in dpkg

  In dem Paketmanager dpkg wurde eine Directory-Traversal-Schwachstelle
  entdeckt. Dabei werden die Pfade bei der Installation oder
  Deinstallation von Dateien nicht richtig geprueft. Ein entfernter
  Angreifer kann dadurch mit einem manipulierten *.deb-Paket Dateien
  ausserhalb des zulaessigen Bereiches loeschen oder ueberschreiben.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket dpkg

  Fedora 11
  Fedora 12
  Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  http://lists.fedoraproject.org/pipermail/package-announce/2010-March/037592.html
  http://lists.fedoraproject.org/pipermail/package-announce/2010-March/036717.html
  http://lists.fedoraproject.org/pipermail/package-announce/2010-March/037617.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
   Michael Groening, DFN-CERT
- -- 

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone  +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen               https://www.cert.dfn.de/autowarn

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-4410
2010-03-13 01:33:03
- --------------------------------------------------------------------------------

Name        : dpkg
Product     : Fedora 13
Version     : 1.15.5.6
Release     : 4.fc13
URL         : http://packages.debian.org/unstable/admin/dpkg
Summary     : Package maintenance system for Debian Linux
Description :

This package contains the tools (including dpkg-source) required
to unpack, build and upload Debian source packages.

This package also contains the programs dpkg which used to handle the
installation and removal of packages on a Debian system.

This package also contains dselect, an interface for managing the
installation and removal of packages on the system.

dpkg and dselect will certainly be non-functional on a rpm-based system
because packages dependencies will likely be unmet.

- --------------------------------------------------------------------------------
Update Information:

This update fixes CVE-2010-0396 - dpkg path traversal issue  *
http://www.debian.org/security/2010/dsa-2011  *
http://seclists.org/fulldisclosure/2010/Mar/201
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #572522 - CVE-2010-0396 dpkg: path traversal issue
        https://bugzilla.redhat.com/show_bug.cgi?id=572522
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update dpkg' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLp2A8WmhIvjFb90URAtjoAKCHaKE3zZN4HDeZuD9XCVbhGX0enwCeL3rV
r1taMjjbzIModtH+kDhWB3E=
=hB9d
-----END PGP SIGNATURE-----