概要
Debianパッケージの検証ツール「Lintian」に複数のディレクトリトラバーサル脆弱性が存在します。制御フィールド名(1)、制御フィールド値(2)、パッチシステムの制御ファイル(3)を経由して、リモートの攻撃者が任意のファイルを上書きしたり、機密情報を取得したりすることが可能です。
本脆弱性は2010年に公開・修正されたもので、2026年4月29日にNVDのCVSSスコア再評価により更新されました。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8(Critical) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権レベル(PR) | 不要 |
| ユーザー関与(UI) | 不要 |
| CWE | CWE-22(パストラバーサル) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Lintian | Debian | 1.23.x〜1.23.28 |
| Lintian | Debian | 1.24.x〜1.24.2.1 |
| Lintian | Debian | 2.x(2.3.2未満) |
修正バージョンと回避策
- 修正バージョン: Lintian 2.3.2(2010年1月リリース)
- 現行のDebianリポジトリで提供されているLintianは修正済みです
- レガシー環境でLintian 2.3.2未満を使用している場合はアップデートを推奨します
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。