dpkg - CVE-2026-2219

Date de publication :

Il s'agit d'une vulnérabilité dans dpkg-deb, lors du traitement d’une archive .deb compressée en zstd et tronquée.

dpkg est le système de gestion de paquets natif de Debian. Le composant dpkg-deb sert notamment à lire, construire et extraire le contenu des archives .deb utilisées pour l’installation, l’inspection et le traitement automatisé des paquets. 

En raison d’une mauvaise gestion de la fin de flux, la décompression peut ne jamais se terminer et rester bloquée dans une boucle infinie avec consommation CPU.

Elle permet un déni de service par blocage persistant du traitement du paquet.

CVE-2026-2219

[Score CVSS v3.1 : 7.5]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-835 : Loop with Unreachable Exit Condition ('Infinite Loop')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

•   dpkg versions 1.21.18 jusqu’à 1.22.21 et 1.23.5 et antérieures dans la branche 1.23.x.
•   Debian bookworm avec dpkg 1.21.22 est indiqué vulnérable.
•   Debian trixie avec dpkg 1.22.21 est indiqué vulnérable.

Solutions ou recommandations

•   dpkg versions 1.22.22 et supérieures dans la branche 1.22.x, et 1.23.6 et supérieures dans la branche 1.23.x.
•   Debian forky/sid est indiqué corrigé.

Liens