CVSS: 7.1EPSS: 1%CPEs: 64EXPL: 0CVE-2014-3127
https://notcve.org/view.php?id=CVE-2014-3127
dpkg 1.15.9 on Debian squeeze introduces support for the "C-style encoded filenames" feature without recognizing that the squeeze patch program lacks this feature, which triggers an interaction error that allows remote attackers to conduct directory traversal attacks and modify files outside of the intended directories via a crafted source package. NOTE: this can be considered a release engineering problem in the effort to fix CVE-2014-0471. dpkg versión 1.15.9 en squeeze de Debian, introduce soporte para la funcionalidad "C-style encoded filenames" sin reconocer que el programa parche de squeeze carece de esta característica, lo que desencadena un error de interacción que permite a los atacantes remotos conducir ataques de salto de directorio y modificar archivos fuera de los directorios previstos por medio de un paquete fuente diseñado. NOTA: esto se puede considerar un problema de ingeniería de versiones en el intento por corregir el CVE-2014-0471. • http://metadata.ftp-master.debian.org/changelogs//main/d/dpkg/dpkg_1.15.10_changelog http://seclists.org/oss-sec/2014/q2/191 http://seclists.org/oss-sec/2014/q2/227 http://www.securityfocus.com/bid/67181 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=746306 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.0EPSS: 0%CPEs: 174EXPL: 0CVE-2014-0471
https://notcve.org/view.php?id=CVE-2014-0471
Directory traversal vulnerability in the unpacking functionality in dpkg before 1.15.9, 1.16.x before 1.16.13, and 1.17.x before 1.17.8 allows remote attackers to write arbitrary files via a crafted source package, related to "C-style filename quoting." Vulnerabilidad de salto de directorio en la funcionalidad de desempaquetado en dpkg anterior a 1.15.9, 1.16.x anterior a 1.16.13 y 1.17.x anterior a 1.17.8 permite a atacantes remotos escribir archivos arbitrarios a través de un paquete fuente manipulado, relacionado con "citando nombre de archivo C-style." • http://www.debian.org/security/2014/dsa-2915 http://www.securityfocus.com/bid/67106 http://www.ubuntu.com/usn/USN-2183-1 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •