阿里云漏洞库

漏洞描述

dpkg是为“Debian” 专门开发的套件管理系统，方便软件的安装、更新及移除。

dpkg的dpkg-deb组件存在栈缓冲区溢出漏洞，攻击者可以构建旧格式的Debian二进制软件包，可使应用程序崩溃或执行任意代码。

解决建议

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞：
https://www.debian.org/security/

参考链接
http://www.debian.org/security/2015/dsa-3407
http://www.ubuntu.com/usn/USN-2820-1
https://anonscm.debian.org/cgit/dpkg/dpkg.git/commit/dpkg-deb/extract.c?id=e6...
https://blog.fuzzing-project.org/30-Stack-overflows-and-out-of-bounds-read-in...
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=798324
https://security.gentoo.org/glsa/201612-07

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	debian	dpkg	1.16.0	-
	运行在以下环境
	应用	debian	dpkg	1.16.0.1	-
	运行在以下环境
	应用	debian	dpkg	1.16.0.2	-
	运行在以下环境
	应用	debian	dpkg	1.16.0.3	-
	运行在以下环境
	应用	debian	dpkg	1.16.1	-
	运行在以下环境
	应用	debian	dpkg	1.16.1.1	-
	运行在以下环境
	应用	debian	dpkg	1.16.1.2	-
	运行在以下环境
	应用	debian	dpkg	1.16.10	-
	运行在以下环境
	应用	debian	dpkg	1.16.11	-
	运行在以下环境
	应用	debian	dpkg	1.16.12	-
	运行在以下环境
	应用	debian	dpkg	1.16.15	-
	运行在以下环境
	应用	debian	dpkg	1.16.2	-
	运行在以下环境
	应用	debian	dpkg	1.16.3	-
	运行在以下环境
	应用	debian	dpkg	1.16.4	-
	运行在以下环境
	应用	debian	dpkg	1.16.4.1	-
	运行在以下环境
	应用	debian	dpkg	1.16.4.2	-
	运行在以下环境
	应用	debian	dpkg	1.16.4.3	-
	运行在以下环境
	应用	debian	dpkg	1.16.5	-
	运行在以下环境
	应用	debian	dpkg	1.16.6	-
	运行在以下环境
	应用	debian	dpkg	1.16.7	-
	运行在以下环境
	应用	debian	dpkg	1.16.8	-
	运行在以下环境
	应用	debian	dpkg	1.16.9	-
	运行在以下环境
	应用	debian	dpkg	1.17.0	-
	运行在以下环境
	应用	debian	dpkg	1.17.1	-
	运行在以下环境
	应用	debian	dpkg	1.17.10	-
	运行在以下环境
	应用	debian	dpkg	1.17.11	-
	运行在以下环境
	应用	debian	dpkg	1.17.12	-
	运行在以下环境
	应用	debian	dpkg	1.17.13	-
	运行在以下环境
	应用	debian	dpkg	1.17.14	-
	运行在以下环境
	应用	debian	dpkg	1.17.15	-
	运行在以下环境
	应用	debian	dpkg	1.17.16	-
	运行在以下环境
应用	debian	dpkg	1.17.17	-
运行在以下环境
应用	debian	dpkg	1.17.18	-
运行在以下环境
应用	debian	dpkg	1.17.19	-
运行在以下环境
应用	debian	dpkg	1.17.2	-
运行在以下环境
应用	debian	dpkg	1.17.20	-
运行在以下环境
应用	debian	dpkg	1.17.21	-
运行在以下环境
应用	debian	dpkg	1.17.22	-
运行在以下环境
应用	debian	dpkg	1.17.23	-
运行在以下环境
应用	debian	dpkg	1.17.24	-
运行在以下环境
应用	debian	dpkg	1.17.25	-
运行在以下环境
应用	debian	dpkg	1.17.3	-
运行在以下环境
应用	debian	dpkg	1.17.4	-
运行在以下环境
应用	debian	dpkg	1.17.5	-
运行在以下环境
应用	debian	dpkg	1.17.6	-
运行在以下环境
应用	debian	dpkg	1.17.7	-
运行在以下环境
应用	debian	dpkg	1.17.8	-
运行在以下环境
应用	debian	dpkg	1.17.9	-
运行在以下环境
系统	canonical	ubuntu_linux	12.04	-
运行在以下环境
系统	canonical	ubuntu_linux	14.04	-
运行在以下环境
系统	canonical	ubuntu_linux	15.04	-
运行在以下环境
系统	canonical	ubuntu_linux	15.10	-
运行在以下环境
系统	debian_10	dpkg	*		Up to (excluding) 1.18.4
运行在以下环境
系统	debian_11	dpkg	*		Up to (excluding) 1.18.4
运行在以下环境
系统	debian_12	dpkg	*		Up to (excluding) 1.18.4
运行在以下环境
系统	debian_7	dpkg	*		Up to (excluding) 1.16.17
运行在以下环境
系统	debian_8	dpkg	*		Up to (excluding) 1.17.26
运行在以下环境
系统	fedora_23	dpkg	*		Up to (excluding) 1.17.27-1.fc23
运行在以下环境
系统	fedora_24	dpkg	*		Up to (excluding) 1.17.27-1.fc24
运行在以下环境
系统	fedora_25	dpkg	*		Up to (excluding) 1.17.27-1.fc25
运行在以下环境
系统	fedora_EPEL_6	dpkg	*		Up to (excluding) 1.16.18-2.el6
运行在以下环境
系统	fedora_EPEL_7	dpkg	*		Up to (excluding) 1.17.27-1.el7
运行在以下环境
系统	opensuse_Leap_42.1	dpkg	*		Up to (excluding) 1.16.10-14.1
运行在以下环境
系统	suse_12	sles12sp1-docker-image	*		Up to (excluding) 1.0.7-20171002
运行在以下环境
系统	suse_12_SP1	update-alternatives	*		Up to (excluding) 1.16.10-12.6.1
运行在以下环境
系统	ubuntu_12.04.5_lts	dpkg	*		Up to (excluding) 1.16.1.2ubuntu7.7
运行在以下环境
系统	ubuntu_14.04	dpkg	*		Up to (excluding) 1.17.5ubuntu5.5
运行在以下环境
系统	ubuntu_14.04.6_lts	dpkg	*		Up to (excluding) 1.17.5ubuntu5.5

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

有限影响
EXP成熟度

N/A
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-189	数值错误

中危 dpkg栈缓冲区溢出漏洞

漏洞描述

解决建议

参考链接

受影响软件情况