NVD

Id
31380  
Name
CVE-2014-3127  
Description
dpkg 1.15.9 on Debian squeeze introduces support for the "C-style encoded filenames" feature without recognizing that the squeeze patch program lacks this feature, which triggers an interaction error that allows remote attackers to conduct directory traversal attacks and modify files outside of the intended directories via a crafted source package. NOTE: this can be considered a release engineering problem in the effort to fix CVE-2014-0471.  
Reject
 
CVSS Version
2  
CVSS Score
7.1  
Severity
High  
CVSS Base Score
7.1  
CVSS Impact Subscore
9.2  
CVSS Exploit Subscore
4.9  
CVSS Vector
(AV:N/AC:H/Au:N/C:N/I:C/A:C)  
Pub Date
2017-01-19  
Published
2014-05-13  
Modified Date
2014-06-05  
Seq
2014-3127  

Actions

Related NVD References

Id NVD Id NVD No. Reference Actions
164286 31380 CVE-2014-3127 http://metadata.ftp-master.debian.org/changelogs//main/d/dpkg/dpkg_1.15.10_changelog  View
164287 31380 CVE-2014-3127 [oss-security] 20140429 CVE request: directory traversal in DSA-2915-1-patched dpkg in Debian squeeze  View
164288 31380 CVE-2014-3127 [oss-security] 20140501 Re: CVE request: directory traversal in DSA-2915-1-patched dpkg in Debian squeeze  View
164289 31380 CVE-2014-3127 67181  View
164290 31380 CVE-2014-3127 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=746306  View

Related JVN

Id Name Title Summary Cveinfo Name Cveinfo Id Nvdinfo Name Nvdinfo Id Cvssv2 Cvssv3 Jvnurl Published Date Last Updated Date Actions
13625 JVNDB-2014-002500 Debian squeeze および wheezy 用 dpkg におけるディレクトリトラバーサル攻撃を実行される脆弱性 Debian squeeze および wheezy 用 dpkg は、"C スタイルでエンコードされたファイル名 (C-style encoded filename)" をサポートしているがパッチプログラムはサポートしていないことにより、インタラクションエラー (interaction error) が発生するため、ディレクトリトラバーサル攻撃を実行され、目的のディレクトリ以外にファイルを作成される脆弱性が存在します。 CVE-2014-3127 70414 CVE-2014-3127 31380 7.1 http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002500.html 2014-04-28 2014-06-17 View