Dpkg ابزاری برای مدیریت پکیجها در توزیعهای مبتنی بر Debian میباشد. این نرم افزار از نسخه 1.14.17 تا قبل از نسخه 1.18.26، از نسخه 1.19.0 تا قبل از نسخه 1.19.8، از نسخه 1.20.0 تا قبل از نسخه 1.20.10 و از نسخه 1.21.0 تا قبل از نسخه 1.21.8، دارای یک آسیبپذیری بحرانی (9.8 از10) است که ریشه در Dpkg::Source::Archive دارد. هنگامی که Source Packageهای غیرمطمئن با فرمت v2 و v3 که شامل فایل debian.tar میباشند، از حالت فشرده خارج شده و محتویات آنها در پوشه جاری ریخته میشود، این امر میتواند منجر به آسیبپذیری Directory Traversal روی فایلهای orig.tar و debian.tar که به شکل هدفمندی ساخته شده اند، شود.
برای رفع آسیبپذیری، نسخههای آسیبپذیری را به نسخههای 1.18.26، 1.19.8، 1.20.10، 1.21.8 بروزرسانی کنید و یا اصلاحیههای امنیتی با کامیتهای به شمارههای زیر از https://git.dpkg.org/cgit/dpkg/dpkg.git دانلود نماید.
- 1f23dddc17f69c9598477098c7fb9936e15fa495
- 58814cacee39c4ce9e2cd0e3a3b9b57ad437eff5
- 7a6c03cb34d4a09f35df2f10779cbf1b70a5200b
- faa4c92debe45412bfcf8a44f26e827800bb24be
- 50