Debians sikkerhedsbulletin
DSA-2047-1 aria2 -- utilstrækkelig fornuftighedskontrol af inddata
- Rapporteret den:
- 17. maj 2010
- Berørte pakker:
- aria2
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2010-1512.
- Yderligere oplysninger:
-
En sårbarhed blev fundet i aria2, en downloadklient. Attributten
name
i elementetfile
i metalinkfiler, blev ikke på korrekt vis fornuftighedskontrolleret før det blev anvendt til at downloade filer. Hvis en bruger blev narret til at downloade fra en særligt fremstillet metalinkfil, kunne det udnyttes til at downloade filer til mapper uden for den påtænkte downloadmappe.I den stabile distribution (lenny), er dette problem rettet i version 0.14.0-1+lenny2.
I den ustabile distribution (sid), er dette problem rettet i version 1.9.3-1.
Vi anbefaler at du opgraderer din aria2-pakke.
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2.dsc
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2.dsc
- Alpha:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_arm.deb
- ARM EABI:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_armel.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.