Debians sikkerhedsbulletin

DSA-2409-1 devscripts -- flere sårbarheder

Rapporteret den:
15. feb 2012
Berørte pakker:
devscripts
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-0210, CVE-2012-0211, CVE-2012-0212.
Yderligere oplysninger:

Flere sårbarheder er opdaget i debdiff, et scrikt, der anvendes til at sammenligne to Debian-pakker, som indgår i pakken devscripts. Projektet Common Vulnerabilities and Exposures har tildelt følgende id'er til sårbarhederne:

  • CVE-2012-0210:

    Paul Wise opdagede, at på grund af utilstrækkelig fornuftighedskontrol af inddata, når der blev behandlet .dsc- og .changes-filer, var det muligt at udføre vilkårlig kode og blotlægge systemoplysninger.

  • CVE-2012-0211:

    Raphael Geissert opdagede, at det var muligt at indsprøjte eller ændre eksterne kommandoers parametre, når der blev behandlet kildekodepakker med særligt navngivne tarballs i mappen på øverste niveau i .orig-tarball'en, hvilket muliggjorde vilkårlig udførelse af kode.

  • CVE-2012-0212:

    Raphael Geissert opdagede, at det var muligt at indsprøjte eller ændre eksterne kommandoers parametre, når en særligt navngivet fil blev overført som parameter til debdiff, hvilket muliggjorde vilkårlig udførelse af kode.

I den stabile distribution (squeeze), er disse problemer rettet i version 2.10.69+squeeze2.

I distributionen testing (wheezy), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), vil disse problemer blive rettet i version 2.11.4.

Vi anbefaler at du opgraderer dine devscripts-pakker.