Bulletin d'alerte Debian

DSA-2409-1 devscripts -- Plusieurs vulnérabilités

Date du rapport :
15 février 2012
Paquets concernés :
devscripts
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-0210, CVE-2012-0211, CVE-2012-0212.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans debdiff, un script utilisé pour comparer deux paquets Debian, qui fait partie du paquet devscripts. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2012-0210

    Paul Wise a découvert qu'une vérification d'entrées manquante lors du traitement de fichiers .dsc et .changes autorise l'exécution de code arbitraire et la divulgation de renseignements sur le système.

  • CVE-2012-0211

    Raphael Geissert a découvert qu'il est possible d'injecter ou modifier les arguments de commandes externes traitant les paquets source avec des archives aux noms particuliers dans le répertoire de premier niveau de l'archive .orig, permettant l'exécution de code arbitraire.

  • CVE-2012-0212

    Raphael Geissert a découvert qu'il est possible d'injecter ou modifier les arguments de commandes externes lorsqu'un fichier avec un nom particulier est passé comme argument à debdiff, permettant l'exécution de code arbitraire.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.10.69+squeeze2.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes seront corrigés dans la version 2.11.4.

Nous vous recommandons de mettre à jour vos paquets devscripts.