7 results (0.014 seconds)

CVSS: 9.8EPSS: 0%CPEs: 300EXPL: 0

dpkg-source in dpkg 1.3.0 through 1.18.23 is able to use a non-GNU patch program and does not offer a protection mechanism for blank-indented diff hunks, which allows remote attackers to conduct directory traversal attacks via a crafted Debian source package, as demonstrated by use of dpkg-source on NetBSD. Dpkg-source en dpkg en las versiones comprendidas entre la 1.3.0 y la 1.18.23 es capaz de usar un programa de parches non-GNU que no ofrece un mecanismo de protección para diff hunks identadas en blanco, lo que permite a atacantes remotos realizar ataques de salto de directorio a través de un paquete fuente Debian, como se demuestra mediante el uso de dpkg-source en NetBSD. • http://www.openwall.com/lists/oss-security/2017/04/20/2 http://www.securityfocus.com/bid/98064 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 4.3EPSS: 0%CPEs: 30EXPL: 0

The dpkg-source command in Debian dpkg before 1.16.16 and 1.17.x before 1.17.25 allows remote attackers to bypass signature verification via a crafted Debian source control file (.dsc). El comando dpkg-source en Debian dpkg anterior a 1.16.16 y 1.17.x anterior a 1.17.25 permite a atacantes remotos evadir verificación de firmas a través de un fichero de control de fuentes de Debian (.dsc) manipulado. • http://lists.fedoraproject.org/pipermail/package-announce/2015-May/157387.html http://lists.opensuse.org/opensuse-updates/2015-06/msg00029.html http://www.debian.org/security/2015/dsa-3217 http://www.ubuntu.com/usn/USN-2566-1 • CWE-284: Improper Access Control •

CVSS: 6.8EPSS: 5%CPEs: 1EXPL: 3

Multiple format string vulnerabilities in the parse_error_msg function in parsehelp.c in dpkg before 1.17.22 allow remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via format string specifiers in the (1) package or (2) architecture name. Múltiples vulnerabilidades de cadenas de formatos en la función parse_error_msg en parsehelp.c en dpkg anterior a 1.17.22 permiten a atacantes remotos causar una denegación de servicio (caída) y posiblemente ejecutar código arbitrario a través de especificadores de cadenas de formatos en el nombre (1) del paquete o (2) de la arquitectura. • http://lists.fedoraproject.org/pipermail/package-announce/2015-May/157387.html http://seclists.org/oss-sec/2014/q4/539 http://seclists.org/oss-sec/2014/q4/551 http://seclists.org/oss-sec/2014/q4/622 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=768485 https://bugs.launchpad.net/ubuntu/+source/dpkg/+bug/1389135 https://exchange.xforce.ibmcloud.com/vulnerabilities/98551 • CWE-134: Use of Externally-Controlled Format String •

CVSS: 5.0EPSS: 0%CPEs: 174EXPL: 0

Directory traversal vulnerability in the unpacking functionality in dpkg before 1.15.9, 1.16.x before 1.16.13, and 1.17.x before 1.17.8 allows remote attackers to write arbitrary files via a crafted source package, related to "C-style filename quoting." Vulnerabilidad de salto de directorio en la funcionalidad de desempaquetado en dpkg anterior a 1.15.9, 1.16.x anterior a 1.16.13 y 1.17.x anterior a 1.17.8 permite a atacantes remotos escribir archivos arbitrarios a través de un paquete fuente manipulado, relacionado con "citando nombre de archivo C-style." • http://www.debian.org/security/2014/dsa-2915 http://www.securityfocus.com/bid/67106 http://www.ubuntu.com/usn/USN-2183-1 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 6.8EPSS: 2%CPEs: 125EXPL: 0

dpkg-source in dpkg before 1.14.31 and 1.15.x allows user-assisted remote attackers to modify arbitrary files via a symlink attack on unspecified files in the .pc directory. dpkg-source de dpkg en versiones anteriores a la 1.14.31 y 1.15.x permite a atacantes remotos asistidos por el usuario modificar archivos de su elección a través de un ataque symlink en ficheros específicos del directorio .pc. • http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053306.html http://lists.fedoraproject.org/pipermail/package-announce/2011-January/053311.html http://osvdb.org/70367 http://secunia.com/advisories/42826 http://secunia.com/advisories/42831 http://secunia.com/advisories/43054 http://www.debian.org/security/2011/dsa-2142 http://www.securityfocus.com/bid/45703 http://www.ubuntu.com/usn/USN-1038-1 http://www.vupen.com/english/advisories/2011/0040 http://w • CWE-59: Improper Link Resolution Before File Access ('Link Following') •