Debians sikkerhedsbulletin

DSA-2047-1 aria2 -- utilstrækkelig fornuftighedskontrol af inddata

Rapporteret den:
17. maj 2010
Berørte pakker:
aria2
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2010-1512.
Yderligere oplysninger:

En sårbarhed blev fundet i aria2, en downloadklient. Attributten name i elementet file i metalinkfiler, blev ikke på korrekt vis fornuftighedskontrolleret før det blev anvendt til at downloade filer. Hvis en bruger blev narret til at downloade fra en særligt fremstillet metalinkfil, kunne det udnyttes til at downloade filer til mapper uden for den påtænkte downloadmappe.

I den stabile distribution (lenny), er dette problem rettet i version 0.14.0-1+lenny2.

I den ustabile distribution (sid), er dette problem rettet i version 1.9.3-1.

Vi anbefaler at du opgraderer din aria2-pakke.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0.orig.tar.gz
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2.dsc
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2.diff.gz
Alpha:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/aria2/aria2_0.14.0-1+lenny2_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.