CVSS: 6.4EPSS: 0%CPEs: 31EXPL: 0CVE-2014-3227
https://notcve.org/view.php?id=CVE-2014-3227
dpkg 1.15.9, 1.16.x before 1.16.14, and 1.17.x before 1.17.9 expect the patch program to be compliant with a need for the "C-style encoded filenames" feature, but is supported in environments with noncompliant patch programs, which triggers an interaction error that allows remote attackers to conduct directory traversal attacks and modify files outside of the intended directories via a crafted source package. NOTE: this vulnerability exists because of reliance on unrealistic constraints on the behavior of an external program. dpkg 1.15.9, 1.16.x anterior a 1.16.14 y 1.17.x anterior a 1.17.9 esperan que el programa de parche conforme con una necesidad para la funcionalidad 'nombres de archivos codificados C-style', pero está soportado en entornos con programas de parche no conformes, lo que provoca un error de interacción que permite a atacantes remotos realizar ataques de salto de directorio y modificar archivos fuera de los directorios intencionados a través de un paquete de fuente manipulado. NOTA: esta vulnerabilidad existe debido a dependencia en restricciones no realistas sobre el comportamiento de un programa externo. • http://openwall.com/lists/oss-security/2014/04/29/4 http://openwall.com/lists/oss-security/2014/05/29/16 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=746306 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.1EPSS: 1%CPEs: 64EXPL: 0CVE-2014-3127
https://notcve.org/view.php?id=CVE-2014-3127
dpkg 1.15.9 on Debian squeeze introduces support for the "C-style encoded filenames" feature without recognizing that the squeeze patch program lacks this feature, which triggers an interaction error that allows remote attackers to conduct directory traversal attacks and modify files outside of the intended directories via a crafted source package. NOTE: this can be considered a release engineering problem in the effort to fix CVE-2014-0471. dpkg versión 1.15.9 en squeeze de Debian, introduce soporte para la funcionalidad "C-style encoded filenames" sin reconocer que el programa parche de squeeze carece de esta característica, lo que desencadena un error de interacción que permite a los atacantes remotos conducir ataques de salto de directorio y modificar archivos fuera de los directorios previstos por medio de un paquete fuente diseñado. NOTA: esto se puede considerar un problema de ingeniería de versiones en el intento por corregir el CVE-2014-0471. • http://metadata.ftp-master.debian.org/changelogs//main/d/dpkg/dpkg_1.15.10_changelog http://seclists.org/oss-sec/2014/q2/191 http://seclists.org/oss-sec/2014/q2/227 http://www.securityfocus.com/bid/67181 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=746306 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.0EPSS: 0%CPEs: 174EXPL: 0CVE-2014-0471
https://notcve.org/view.php?id=CVE-2014-0471
Directory traversal vulnerability in the unpacking functionality in dpkg before 1.15.9, 1.16.x before 1.16.13, and 1.17.x before 1.17.8 allows remote attackers to write arbitrary files via a crafted source package, related to "C-style filename quoting." Vulnerabilidad de salto de directorio en la funcionalidad de desempaquetado en dpkg anterior a 1.15.9, 1.16.x anterior a 1.16.13 y 1.17.x anterior a 1.17.8 permite a atacantes remotos escribir archivos arbitrarios a través de un paquete fuente manipulado, relacionado con "citando nombre de archivo C-style." • http://www.debian.org/security/2014/dsa-2915 http://www.securityfocus.com/bid/67106 http://www.ubuntu.com/usn/USN-2183-1 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •