CVE-2014-3127

Loading...

Général

Score :7.1/10.0
Sévérité :Moyenne
Catégorie :Manipulation de chemin

Métriques d'impact

Confidentialité :Aucun
Intégrité :Complet
Disponibilité :Complet

Métriques d'exploitabilité

Vecteur d'Accès :Réseau
Complexité d'Accès :Difficile
Authentification :Aucune

Vulnérabilités associées

CVE-2014-3227

Publiée le 14/05/14 - Mise à jour le 05/06/14

Description

dpkg 1.15.9 on Debian squeeze introduces support for the "C-style encoded filenames" feature without recognizing that the squeeze patch program lacks this feature, which triggers an interaction error that allows remote attackers to conduct directory traversal attacks and modify files outside of the intended directories via a crafted source package. NOTE: this can be considered a release engineering problem in the effort to fix CVE-2014-0471.

Catégorie : Manipulation de chemin

CWE-22 (Traversement de chemin)
Le logiciel utilise une entrée externe pour construire un chemin d'accès qui est destiné à identifier un fichier ou un répertoire qui se trouve dans un répertoire parent restreint, mais le logiciel ne neutralise pas correctement les éléments spéciaux dans le chemin qui peuvent permettre l'accès à un emplacement qui est en dehors du répertoire restreint.

Avis de sécurité

US National Vulnerability DatabaseCVE-2014-3127
Debian DSA-2915-2

Exploits

Pas d'exploit disponible pour cette CVE dans notre base de données.

Technologies associées

FournisseurProduit
debiandpkg

Partagez cette vulnérabilité avec :

Twitter Facebook LinkedIn Mail