Säkerhetsbulletin från Debian

DSA-1878-1 devscripts -- städar inte indata

Rapporterat den:
2009-09-02
Berörda paket:
devscripts
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2009-2946.
Ytterligare information:

Raphael Geissert upptäckte att uscan, ett program för att undersöka tillgängligheten av nya källkodsversioner och som är del av devscripts-paketet, kör perlkod som laddats ner från potentiellt opålitliga källor för att implementera sin URL- och versionsmanglingsfunktionalitet. Denna uppdatering hanterar problemet genom att omimplementera de relevanta perloperatorerna utan att lita på perltolkaren, samtidigt som den försöker bevara bakåtkompatibilitet så mycket som möjligt.

För den gamla stabila utgåvan (Etch) har detta problem rättats i version 2.9.26etch4.

För den stabila utgåvan (Lenny) har detta problem rättats i version 2.10.35lenny6.

För den instabila utgåvan (Sid) kommer detta problem att rättas i version 2.10.54.

Vi rekommenderar att ni uppgraderar ert devscripts-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.tar.gz
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4.dsc
Alpha:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.9.26etch4_sparc.deb

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.tar.gz
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6.dsc
Alpha:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/d/devscripts/devscripts_2.10.35lenny6_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.